我正在建立一个购买系统,并且我被告知要在我的网络服务器上设置一个SSL证书来与银行操作一起工作。SSL证书
我对此很陌生,我并不完全了解OpenSSL(免费和开源)和SSL证书之间的区别,这些证书需要购买(thawte.com)。
我猜OpenSSL是像工具创建一个密钥(ive alredy为firstdata.com做到这一点),但如果我在thawte.com购买ssl证书并安装它,否则我的网站运行在https上?
我可以使用免费的openSSL与银行合作吗?或者我必须买一个?
自行发放(使用OpenSSL)证书与从thawte(或其他地方)购买的证书之间最大的区别是信任。如果您希望用户使用访问启用SSL的网站而不提示“您信任此发行者的证书吗?”您需要购买trusted certification authority的证书,例如thawte or one of the others。
您的网站将通过https与任何旧的x.509证书运行,所以如果您只有少数人访问您的ssl网站,您可能会说服他们信任您的自我颁发的证书并节省证书费用。
OpenSSL是一个工具和库,可用于生成证书请求(CSR),自签名证书和从CA颁发证书(如果它是您控制的CA当然)。
在大多数浏览器中嵌入了大量预置信任的证书颁发机构。他们通过签署他们给您的证书(来自您的证书申请)来颁发证书。反过来,它们颁发的证书可以由用户的浏览器针对其(发行)CA证书进行验证,因为它默认随附在它们中。
您可以自己生成自己的CA并颁发证书,但问题是您的CA证书在大多数浏览器中默认情况下不会被信任,所以它没有价值,除非让用户明确导入它(这适用于例如公司CA,但通常不切实际)。自签名证书是一个特例:它是您生成的根CA证书或给定机器的一次性证书;无论如何,你必须明确地导入它。
一些预先信任的CA将允许您使用OpenSSL生成证书请求作为其过程的一部分,但他们也可能会提供依赖于其他工具的其他过程。你或他们使用哪种工具并不重要。您需要的是由您的远程方信任的CA颁发的证书。
您可以免费注册并为您的网站生成免费的SSL证书,至少第一年为StartSSL。他们的网站现在显示周末维护,但稍后会提供。我能够从他们那里获得免费的SSL证书。此证书由Startcom认证机构签署,该机构为trusted, according to their site。
所以这两个网站上的'https':我的和银行的 - 意味着我们之间有安全的连接? 而在firstdata的情况下,当我刚刚生成密钥时,问题的关键是仅比较谁发送数据? – Dmitry 2010-11-12 10:39:48