根ssl证书的配置

Question

我想为域安装SSL证书。于是我在谷歌上搜索并做了一些研发，找到了这个链接https://www.symantec.com/page.jsp?id=roots。

上面说我们可以免费下载和使用。所以我下载了pem文件。现在我需要在nginx服务器上设置它。

所以现在我有pem文件，但没有CSR键。

• 我可以生成并使用一个自签名私钥吗？
• 如果我用这个会有什么问题吗？
• 有浏览器相关的问题吗？

因为这是我第一次配置ssl证书，所以我完全不清楚如何实现它。

请分享你的经历？

提前谢谢。

Answer 1

您发布的链接是根包，以便您的计算机能够信任由赛门铁克签署的证书-现代浏览器应该已经安装了这个链接。Symantec不允许您下载可以用于创建默认情况下免费信任的证书的签名证书。那就太傻了。简而言之，您不能使用链接到的文件来创建新的证书。

如果您想要得到大多数浏览器信任的证书，则必须向SSL供应商提交CSR并可能支付费用。一些不太知名的供应商，比如RapidSSL或StartSSL，可能已经为有限的用途提供了折扣证书，甚至是免费的证书，但是如果您想从赛门铁克(Verisign)、塔瓦特( Thawt )、恩托拉斯( Entrust )等主要供应商那里得到一些东西，那么您就需要购买$$。

如果您想要创建您自己的PKI (它没有金钱成本)，则需要创建您自己的证书颁发机构并让它颁发根证书。必须在希望信任证书的每台计算机上安装该根证书。

还有第三种选择，您可以拥有由第三方信任根签名的内部can，在这种情况下，您可以颁发天生可信的证书，但是如果您正在问这个问题，您还远远没有做好准备。要求是严格的。

如果你想让它在你无法控制的电脑上无缝工作，你需要付费。