购买还是创建TLS证书？

Question

假设web服务器希望通过HTTPS承载流量。我的不完全理解是，TLS支持HTTPS。

client <--- HTTPS (over TLS) ---> server

服务器必须生成一个证书以提供给客户端，然后客户端必须信任它才能进行HTTPS通信。服务器有两个选项可以获得证书：

1. 从“受信任的证书颁发机构”购买证书
2. 创建证书

在第一种情况下，据我了解，客户端的运行时(例如Java的JRE )将信任证书。

但是，在第二种情况下，据我了解，客户端必须将“证书”添加到他们的“信任存储”中。

假设上述部分是正确的，为什么公司会选择第二种选择，即出示自己的证书？

Answer 1

假设我正在运行一个IOT设备网络，我希望能够与它们进行可信的通信。如果他们运行的是一个标准的证书存储，他们将信任任何在他们的存储中有证书的站点。或者，我可以创建自己的PKI (公钥基础设施)，只安装我的证书，这些设备只能信任我。我可以使用这个证书来创建加密的会话、监视系统、部署补丁等等。

另一个例子是在桌面端点上安装证书，并拒绝来自没有这些证书的系统的域连接。

另一个例子是在支付终端上安装证书。

还可以考虑使用客户端证书来允许客户端服务器通信中的相互身份验证。

因此，安装您自己的证书可以是创建一个私有可信网络的一种廉价方法。