我正在开发将使用 clickonce(在网站 foo.com 上)部署的软件,然后将使用带有加密传输的 WCF 连接到我的服务器
所以我需要一个 SSL 证书,它将:
我还希望我的 SSL 证书由公众已知的权威机构签署(即 firefox 或 windows 不会要求用户先安装权威机构的证书!)
您会购买什么 SSL 证书?
我浏览了 Verisign 网站,“Secure Site EV”证书每年花费 1150 欧元(“Pro”版本似乎仅用于与旧浏览器兼容)
听起来您正在寻找两种不同类型的证书:
1 - SSL 证书 - 用于验证您的网站/应用程序服务器。
2 - 代码签名证书 - 用于您提供的 exe 的完整性/身份验证。
通常,它们是两个不同的证书,具有两个不同的证书配置文件。至少,您需要一个具有两种不同密钥用法或扩展密钥用法的证书。
一些没有特定顺序的想法:
检查您的目标浏览器,它们每个都应该有一组预配置的根证书——这些是最广泛认可的公共证书来源。我可能会同时检查 Firefox 和 IE。我知道的大牌证书供应商有 - Versign、GeoTrust、RSA、Thawte、Entrust。但也有 GoDaddy 和许多其他人。提供的浏览器中作为受信任的根证书提供的任何内容都将允许您连接到您的用户而无需额外的 greif。
我建议用谷歌搜索“代码签名证书”和“SSL 证书”。
您如何配置您的站点将决定您的网站是否经过验证或您的身份验证服务器是否经过验证。如果证书存储在应用服务器上,那么您的用户将一直获得 SSL 加密到服务器。但是许多站点将 SSL 证书放在更靠前的位置——比如放在防火墙上,然后在其后面放置一组应用服务器。只要网络经过仔细配置,我看不出其中存在安全漏洞。对于外部用户来说,这两种配置看起来是一样的——他们会锁定他们的浏览器和一个证书,告诉他们 www.foo.com 正在提供它的凭据。
我看到 SSL 证书非常优惠: - GoDaddy - 12.99 美元 - Register.com - 14.99 美元
但它们不一定是代码签名证书。例如,虽然 GoDaddy 的 SSL 证书是 12.99 美元,但他们的代码签名证书是 199.99 美元!这是许多证书供应商商业模式的一部分——用廉价的 SSL 证书引诱你,让你为代码签名付费。可以证明代码签名证书的责任相对较高。而且……他们必须以某种方式补贴廉价的 SSL 证书。
从理论上讲,应该可以制作一个同时进行代码签名和 SSL 的证书,但我不确定你是否想要这样。如果发生了什么事,能够隔离这两个功能会很好。此外,我很确定您必须致电证书供应商并询问他们是否这样做,如果他们不这样做,让他们这样做可能会抬高价格。
至于供应商,需要考虑的事项:
在最后一颗子弹上——如果你深入研究世界上的 Verisigns——非常昂贵的证书——你可能会看到它的价值。他们拥有庞大的基础设施,并且非常重视 CA 的安全性。我不太确定超级便宜的托管服务。也就是说,如果您的风险很低,那么与 12.99 美元相比,300 美元的 SSL 证书没有多大意义!
因此,对于网站/应用程序服务器,您需要 SSL 证书。您不需要EV 证书。为此,我使用了来自 QuickSSL 的证书,因为与其他一些廉价证书提供商不同,它们不需要在服务器上安装中间证书 - 这对我来说是没有人的。
用于签署完全不同类型证书的应用程序(有点,它仍然是 X509 证书,但您用于网站的证书不能用于签署应用程序)。您需要来自Verisign或Globalsign之类的验证码签名证书。这些证书比普通的旧 SSL 证书贵一个数量级,并且要求您成为一家注册公司并制作这些文件。