如何在内部使用的站点上设置没有证书颁发机构的TLS

Question

我希望为我的网站设置SSL/TLS。如何在不使用证书颁发机构的情况下独自完成此操作。该网站将只能通过某些机器访问，这样我就可以轻松地在他们的浏览器上安装公共证书。

Answer 1

如果您能够安排客户端可靠地识别正确的证书，那么您所需要的就是“自行”生成您自己的证书，传统上是自签名证书。这方面的教程很容易找到，例如使用Linux工具或Windows IIS。

您还可能希望运行自己的CA (例如，使用本软件)，并在客户端浏览器中安装CA证书--这是额外的初始复杂性，但如果以后需要更改某些证书(例如，如果先前安装的证书过期)，则会使事情变得更简单。

Answer 2

我不是安全性专家，也不是TLS/SSL专家，但我知道一些事情：

1. 在生产代码中，实现您自己版本的安全协议、散列/加密算法等通常是个坏主意。不过，作为一个学习项目，做起来很有趣。
2. 在寻找TLS或SSL时，使用客户端加密是很有诱惑力的，但这违背了最佳实践。
3. 有一些工具可以帮助您制作自签名证书，但我相信大多数浏览器都会对用户显示警告，这可能会吓跑一些用户，即使不是大多数用户。

我自己还没试过，但你可能想看看StartSSL。我不能保证它会起作用，而且它可能不支持TLS，但是如果你想要一个免费的选项，它确实是我见过的唯一一个非自签名的选项。

如果有人说我写错了，请听他们说！如果没有，我希望我能帮你。

祝好运!