SSL证书

Question

我正在构建一个购买系统，我被告知要在我的web服务器上设置一个SSL证书，以便与银行业务一起工作。

我是个新手，我不太明白OpenSSL (免费和开源)和需要购买的SSL证书(thawte.com)之间的区别。

我猜OpenSSL是一个类似于创建密钥的工具(我已经为firstdata.com做了这件事)，但是如果我在thawte.com上购买SSL证书并安装它，我的网站会运行在https上吗？

我可以使用免费的openSSL与银行一起工作吗？还是我得买一个？

Answer 1

自颁发的(带有OpenSSL的)证书与从thawte (或其他地方)购买的证书之间最大的区别是trust。如果您希望您的用户在不提示“您信任来自此颁发者的证书吗？”的情况下访问您的启用了ssl的网站？您需要从thawte or one of the others等trusted certification authority购买证书。

你的网站将运行任何旧的x.509证书的https，所以如果你只有几个人访问你的ssl网站，你可以说服他们相信你自己颁发的证书，并节省证书的钱。

Answer 2

OpenSSL是一个工具和库，可用于生成证书请求(CSR)、自签名证书和从CA (当然，如果它是您控制的CA )颁发证书。

在大多数浏览器中嵌入了许多预先信任的证书颁发机构。它们通过签署它们提供给您的证书(来自您的证书请求)来颁发证书。反过来，他们颁发的证书可以由用户的浏览器根据他们(颁发)的CA证书进行验证，因为默认情况下CA证书是随附的。

您可以生成自己的CA并自己颁发证书，但问题是在大多数浏览器中，您的CA证书在默认情况下是不受信任的，因此，除非您让用户显式导入它，否则它毫无价值(例如，这对于公司CA来说很好，但通常不切实际)。自签名证书是其中的一个特例:它是您生成的根CA证书，或者是给定计算机的一次性证书；无论哪种方式，您都必须显式地导入它。

一些预信任CA将允许您使用OpenSSL生成证书请求，作为其过程的一部分，但它们也可能提供依赖于其他工具的其他过程。你或他们使用哪种工具并不重要。您需要的是由您的远程方信任的CA颁发的证书。

Answer 3

你可以在StartSSL上免费注册并为你的网站生成免费的SSL证书，至少在第一年是这样。他们的网站现在显示周末维护，但稍后就可以使用了。我可以从他们那里得到免费的SSL证书。此证书由Startcom证书颁发机构( trusted, according to their site )签署。