每个客户端部署的新SSL证书？

Question

上下文：

我有一个作为虚拟机部署到每个客户端的应用程序。后者被客户端安装到他们想要的任何地方(我不一定知道最终的域)。该应用程序包括一个Server，该服务器提供对受JBoss保护的配置页的访问。现在，服务器正在使用自签名证书。但是，我希望浏览器停止显示与自签名证书相关联的警告消息。此外，我还提供了具有基本功能的应用程序的免费版本。

问题：

对于客户端使用免费版本(而我希望降低成本)的情况，在使用SSL证书时，不知道最终域(大多数情况下)的最佳方法是什么？

• 使用自签名证书是可以接受的吗？如果是的话，每个客户端安装一个不同的？
• 是否最好为每个部署颁发一个新的证书(可能是免费的)？
• 是否可以在所有部署VM上使用由适当CA签名的相同证书？
• 完全不同的方法？

谢谢你们！

Answer 1

使用自签名证书是可以接受的吗？如果是的话，每个客户端安装一个不同的？

问问你的客户。他们会容忍浏览器警告吗？还是不想？

是否最好为每个部署颁发一个新的证书(可能是免费的)？

最好是客户端获得自己的SSL证书。你不能为他这么做。没人能做到。

是否可以在所有部署VM上使用由适当CA签名的相同证书？

不，这完全违背了目的。证书和它包装的私钥应该是唯一的，标识持有者。

完全不同的方法？

把所有的大头针都扔给客户。自我认同是他们的问题，不是你的问题。