包含ssl的pfx与用于签署应用程序的pfx相同。

Question

我在pfx中有一个ssl证书。我使用它来保护https应用程序。这个相同的pfx可以用来签署一个执行文件吗？

我要问的原因是，这个pfx随应用程序一起提供，并且域指向本地主机。我只想知道是否在运输这个pfx有危害，如签署一个exe。

Answer 1

如果PFX文件包含您的私钥，然后随您的应用程序一起发送，那么所有拥有您的应用程序的机器都有您的私钥。除非您对这些机器的安全性有信心，否则您已经泄露了您的私钥。

通常，您不应该要求将服务器私钥/PFX文件发送到客户端。尽管您可能需要向客户端发送私钥，如果您的服务器正在使用证书对客户端进行身份验证(相互SSL)。在这种情况下，每个客户端都需要一个唯一的私钥/PFX。