2013-01-18 239 views

回答

-1

服務器證書或客戶端證書只是證書,它們只有不同的屬性。認證樹中的每個人(包括最終用戶和證書頒發者)都有一個證書,通常是X509證書

認證當局上的樹結構(樹的深度是不固定的):

Root certication authority of a country (level 0) 
    Certification authority 1 (level 1) 
    Certification authority 1.1 (level 2) 
     End-user 1.1.1 
     End-user 1.1.2 
     ... 
    Certification authority 1.2 (level 2) 
    ... 
    Certification authority 2 (level 1) 
    ... 

終端用戶的證書是由認證機構在樹的葉簽署。並且每個認證機構還有一個由母認證機構簽署的證書。

根證書頒發機構(級別0)的證書由此根CA本身簽署。

取1例如:證書頒發機構具有一個子認證機構B,以及認證機構B發佈用於終端用戶C.

一個證書在這個例子中:B是保持所述證書和證書那C持有是不同的。 B的證書由A簽署,C的證書由B簽署。這些證書也是明顯不同的,因爲證書的內容是不同的。

以及關於如何獲得證書,有2種方式:(1)找到一個權威認證,並要求他們購買證書,(2)使用證書生成軟件來創建自己的證書。但是,由CA頒發的證書具有法律效力,您自己生成的證書不能用於合法簽署任何內容,因此您自己生成的證書只能用作測試證書。

證書文件(.cer,.p12等)可以導入瀏覽器;對於Chrome瀏覽器:打開'設置' - >'高級' - >'HTTPS/SSL' - >'管理證書' - >'導入'。文件.cer是X509證書(無私鑰),文件.p12是PKCS12證書(包含私鑰)。並非所有證書都被瀏覽器信任;只有通過瀏覽器已知根CA的認證樹中由CA頒發的證書才被信任。

+1

我們有一個來自CA的服務器證書,當它被選中時,它可以用於客戶端驗證。我們是否需要購買客戶端證書才能將其用於身份驗證。 – lil

+0

用於測試目的,您可以從您的服務器爲您的客戶端生成證書。生成的證書文件將是使用您的服務器證書籤名的.p12文件。之後,將這些.p12文件發送到您的客戶端進行身份驗證。 – jondinham

+0

(當然,只要這些服務接受此證書,您的CA頒發的服務器證書可用於其他服務的身份驗證)。請記住,服務器證書或客戶端證書只是證書,它們只有不同的屬性。 – jondinham