我正在建立一個購買系統,並且我被告知要在我的網絡服務器上設置一個SSL證書來與銀行操作一起工作。SSL證書
我對此很陌生,我並不完全瞭解OpenSSL(免費和開源)和SSL證書之間的區別,這些證書需要購買(thawte.com)。
我猜OpenSSL是像工具創建一個密鑰(ive alredy爲firstdata.com做到這一點),但如果我在thawte.com購買ssl證書並安裝它,否則我的網站運行在https上?
我可以使用免費的openSSL與銀行合作嗎?或者我必須買一個?
自行發放(使用OpenSSL)證書與從thawte(或其他地方)購買的證書之間最大的區別是信任。如果您希望用戶使用訪問啓用SSL的網站而不提示「您信任此發行者的證書嗎?」您需要購買trusted certification authority的證書,例如thawte or one of the others。
您的網站將通過https與任何舊的x.509證書運行,所以如果您只有少數人訪問您的ssl網站,您可能會說服他們信任您的自我頒發的證書並節省證書費用。
OpenSSL是一個工具和庫,可用於生成證書請求(CSR),自簽名證書和從CA頒發證書(如果它是您控制的CA當然)。
在大多數瀏覽器中嵌入了大量預置信任的證書頒發機構。他們通過簽署他們給您的證書(來自您的證書申請)來頒發證書。反過來,它們頒發的證書可以由用戶的瀏覽器針對其(發行)CA證書進行驗證,因爲它默認隨附在它們中。
您可以自己生成自己的CA並頒發證書,但問題是您的CA證書在大多數瀏覽器中默認情況下不會被信任,所以它沒有價值,除非讓用戶明確導入它(這適用於例如公司CA,但通常不切實際)。自簽名證書是一個特例:它是您生成的根CA證書或給定機器的一次性證書;無論如何,你必須明確地導入它。
一些預先信任的CA將允許您使用OpenSSL生成證書請求作爲其過程的一部分,但他們也可能會提供依賴於其他工具的其他過程。你或他們使用哪種工具並不重要。您需要的是由您的遠程方信任的CA頒發的證書。
您可以免費註冊併爲您的網站生成免費的SSL證書,至少第一年爲StartSSL。他們的網站現在顯示週末維護,但稍後會提供。我能夠從他們那裏獲得免費的SSL證書。此證書由Startcom認證機構簽署,該機構爲trusted, according to their site。
所以這兩個網站上的'https':我的和銀行的 - 意味着我們之間有安全的連接? 而在firstdata的情況下,當我剛剛生成密鑰時,問題的關鍵是僅比較誰發送數據? – Dmitry 2010-11-12 10:39:48