文章目录
前言
https中的自签名证书
自签名证书
- 自签证书是一种由签名实体发布给自身的证书,即发布者和证书主体相同。
- 当我们需要在企业内部或者测试环境中使用证书时,往往需要创建自签名证书。
- Linux系统中的Openssl工具可以用来生成自签名证书,实现通信的加密,也可以基于自签名的CA证书模拟实际CA信任链的工作过程。
自签名证书分类
- 自签名私有证书
- 自签名CA证书
自签名私有证书无法被吊销,自签名CA证书可以被吊销。
能不能吊销证书的区别在于如果私钥不小心被恶意获取,如果证书不能被吊销那么黑客很有可能伪装成受信任的客户端与用户进行通信。
如果你的规划需要创建多个客户端证书,那么使用自建 CA 签名证书的方法比较合适,只要给所有的客户端都安装了 CA 根证书,那么以该 CA 根证书签名过的客户端证书都是信任的,不需要重复的安装客户端证书。
请注意由于是自建 CA 证书,在使用这个临时证书的时候,会在客户端浏览器报一个错误,签名证书授权未知或不可(signing certificate authority is unknown and not trusted.),但只要配置正确,继续操作并不会影响正常通信。
自签名证书的 Issuer 和 Subject 是一样的。