免费SSL返回的证书

Question

今天我在我的网站上安装了免费的ssl证书，这很容易，但我有一些问题。FreeSSL返回了三个文件："private.key“、"certificate.crt”、"ca_bundle.crt“。所以我的问题是：

1)这把私钥属于谁？这是我(服务器)的私钥吗？我不这么认为，因为如果这是真的，那么免费的SSL知道我的私钥。

2) "certificate.crt“实际上是我服务器的证书，对吗？

3) "ca_bundle.crt“。这是唯一的中间证书，根证书呢？我不需要CA的根证书吗？

Answer 1

这把私钥是谁的？这是我(服务器)的私钥吗？我不这么认为，因为如果这是真的，那么免费的SSL知道我的私钥。

如果您是从SSL供应商那里得到的，那么是的，它们会被发送到您的网站，并且SSL供应商了解您的私钥，因此它们不再是私有的。这是非常糟糕的做法，从CA供应商。

"certificate.crt“实际上是我服务器的证书，对吗？

是的，这是证书的公开部分。私人部分是关键。

"ca_bundle.crt“。这是唯一的中间证书，根证书呢？我不需要CA的根证书吗？

包中不需要根CA证书，因为它们必须预先安装在客户端浏览器中(通常，浏览器供应商会提供一个全局受信任的根CA列表)，因此如果您的SSL供应商是全局受信任的，客户端已经在其浏览器中安装了该证书。如果SSL供应商不受全局信任(默认情况下不包括在浏览器中)，则包中的根证书将不受信任，因为它不受信任(即使它是在SSL/TLS握手期间出现的)，并且需要手动步骤才能在浏览器中安装它(不推荐公开访问的网站)。