问题标签 [certificate-authority]

我正在运行许多 SSL 加密的网站，并且需要生成证书才能在这些网站上运行。它们都是内部应用程序，所以我不需要购买证书，我可以创建自己的。

我发现一直使用 openssl 做所有事情都非常乏味，并且认为这可能是以前做过的事情，并且存在用于它的软件。

我更喜欢基于 linux 的系统，我更喜欢命令行系统而不是 GUI。

有人有什么建议吗？

我想在 C# 中创建一个实用程序，以允许某人在 Windows 中轻松创建证书颁发机构 (CA)。有什么想法/建议吗？

我知道我可以使用 OpenSSL 来做到这一点。最后，我希望这个实用程序能做的不仅仅是生成 CA。我还想避免需要安装 OpenSSL 才能运行我的实用程序。

我想为销售服务的网站购买 128 位 SSL 证书。我检查了http://www.rapidssl.com/ssl-certificate-products/ssl-certificate.htm和http://www.geotrust.com/ssl/compare-ssl-certificates.html。为什么 QuickSSL（Geotrust，249 美元）和 RapidSSL（rapidSSL，69 美元）的价格如此不同？这有什么特别的原因还是只是营销？

RapidSSL 说明如下：

然而，我们认为进行超过 50 次交易的网站将需要专业级 SSL 证书，因为该网站的客户期望来自高度可信和成熟的 SSL 提供商以及国际公认的知名 SSL 品牌的 SSL 的可能性增加。

（“专业级 SSL”是指 Geotrust 证书）

PS 用户真的会关注 SSL 颁发机构的品牌名称吗？

我刚刚安装了 SSL 证书。此证书使用 2048 位加密进行加密。

但是，密码是 128 位加密（或 40，或其他一些变体，具体取决于浏览器。）

这里似乎有两种不同类型的加密。2048 的“握手”加密和较小数量级的“有线”加密。

理论上我有这个权利吗？谁能更好地解释一下？

我一直在谷歌上，找不到两者之间区别的明确解释。

谁能告诉我是否允许证书颁发机构 (CA) 在使用自己的私钥实际签署证书之前对证书签名请求 (CSR) 进行修改？

具体来说，我想知道 CA 在添加签名之前将其他字段（例如 EKU）插入证书是否有效。

是否可以使用 .net 平台查询 windows server 2008 上的证书存储？我想获取有关此系统颁发的证书的信息。

tnx 格雷格

问题说的差不多。这两类根有什么区别？这些根签署的证书之间的区别？1 类签名证书有什么用途，而 3 类没有，反之亦然？

我正在尝试设置分层 PKI。我可以创建一个仅包含根 ca 证书的信任库，这是否意味着我的应用程序信任由子 ca 证书签名的证书，而该子证书又由根 ca 签名？

顺便说一句，您似乎必须提供整个证书链，包括根 ca 证书。当然，如果根 ca 受信任，则不需要发送证书？我们只想检查下一个证书是否由它签名。

是否有任何证书颁发机构允许对 Windows 移动应用程序进行编程签名？目前我的团队使用 Geotrust。我们的构建过程如下所示：

• 构建应用
• 带有多步骤工具的“预签名”应用程序（
• 填写表格并在 geotrust 网站上上传“预签名”应用程序
• 下载签名的应用程序
• 重复

必须有更好的方法来做到这一点。

我目前正在开展一个项目，在该项目中我创建了一个 CA 证书和几个子证书到该 CA 证书。这些证书将用于保护 SAMLV2 设置中的服务器间通信，因此我将拥有一个用于身份提供者的证书和一个用于服务提供者的证书。用户/浏览器不会验证证书，因此只有服务器需要信任我的自定义 CA。我的证书树看起来像这样：

• CustomRootCACert
  • CustomIdentityProviderCert
  • CustomServiceProviderCert

现在，我听到很多人说在生产中使用自制证书不好。但是当我问为什么时，人们通常只是在安全方面喃喃自语，但从不深入细节。是否有任何技术原因不在生产中使用我自己的证书？我想不出……当然，我意识到如果我失去对根证书的控制权，任何人都可以开始创建各种证书。但在这种情况下，他们还必须在我的服务器上安装证书并配置 saml 应用程序以使用它们。只有这样他们才能开始生成虚假的 saml 请求和对我的应用程序的响应。

如果这是唯一的问题，那么这个解决方案（在生产中使用自制证书）仍然会比我们今天的登录设置更好。