V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cevincheung
V2EX  ›  SSL

怎么用受信机构颁发的证书做双向验证?

  •  
  •   cevincheung · 2015-11-18 00:11:22 +08:00 · 2451 次点击
    这是一个创建于 3285 天前的主题,其中的信息可能已经有所发展或是发生改变。

    用证书再签发下面的个人证书

    19 条回复    2016-01-30 16:14:19 +08:00
    ryd994
        1
    ryd994  
       2015-11-18 00:16:00 +08:00 via Android
    一般给的证书都是指定了用途的吧
    应该不行
    dndx
        2
    dndx  
       2015-11-18 01:27:46 +08:00
    不是所有的证书都可以用来签发的,需要 Key Usage Extension Field 里面有 Key Cert Sign 才行。

    一般的 TLS 证书是不行的。
    cevincheung
        3
    cevincheung  
    OP
       2015-11-18 04:01:54 +08:00
    @dndx 怎么样查看一个证书是否支持?
    dndx
        4
    dndx  
       2015-11-18 06:08:01 +08:00
    SharkIng
        5
    SharkIng  
       2015-11-18 06:48:17 +08:00
    @cevincheung 一般购买的都不行的。
    cevincheung
        6
    cevincheung  
    OP
       2015-11-18 08:16:28 +08:00
    @dndx 这不是上级证书么?
    wy315700
        7
    wy315700  
       2015-11-18 08:48:48 +08:00
    @cevincheung 就是上级证书才可以,
    clino
        8
    clino  
       2015-11-18 08:57:27 +08:00
    两个方向是独立的吧
    所以不需要一样?
    cevincheung
        9
    cevincheung  
    OP
       2015-11-18 10:27:46 +08:00
    @wy315700 所以要做双向验证的话只能自签名?
    wy315700
        10
    wy315700  
       2015-11-18 10:53:00 +08:00
    @cevincheung
    不然你以为为什么支付宝要安装一个根证书到电脑里。
    yeyeye
        11
    yeyeye  
       2015-11-18 14:13:24 +08:00
    以前也想过这个问题,据说可信机构颁发的邮件证书可以用在这里,目前邮件证书免费就沃通的时间比较长。你试试看如何?
    cevincheung
        12
    cevincheung  
    OP
       2015-11-18 18:45:10 +08:00
    @yeyeye 已经自签名了
    yeyeye
        13
    yeyeye  
       2015-11-19 10:48:57 +08:00
    @cevincheung 试了下沃通的 去到双向认证的站点会提示选择,应该是可以用的,这样 2 边都是可信任的,就不用自己签名了,我觉得自签名真心不好
    cevincheung
        15
    cevincheung  
    OP
       2015-11-19 14:24:55 +08:00
    @yeyeye 企业应用,一个开放在公网的 ERP ,要能随意随时签发证书给平台上的用户,沃通的 email 证书可以?买一个就可以用这个证书给用户签发?
    yeyeye
        16
    yeyeye  
       2015-11-19 14:55:09 +08:00
    @cevincheung 你这个需求上面没有说明 所以拜托你不要一个又一个的反问好么 = =!

    我只是认为不要搞自签名比较好,如果你认为你的场景自签名是最好的,那你选择它就好了。
    cevincheung
        17
    cevincheung  
    OP
       2015-11-19 15:02:57 +08:00
    @yeyeye - -# 木有反问啊,这是疑问啊。。。。。
    yeyeye
        18
    yeyeye  
       2015-11-19 15:44:45 +08:00
    @cevincheung 申请流程挺简单,人工去输入邮箱地址,然后邮箱收取验证码,填上验证码,会出现证书下载链接(直接在网页上显示,只能下载一次)

    免费 3 年期限
    jason14
        19
    jason14  
       2016-01-30 16:14:19 +08:00
    @cevincheung 企业可以考虑自签的 CA 这样在公司统一的机器上都同步根 CA 就可以了 然后就可以自己部署企业 PKI, windows server 貌似有这样复杂的功能 可以很好的管理域中的 client. 当然,如果实际情况不然,可以考虑公共 CA 的 PKI 服务,要记得挑有 API 访问权限和功能强大点的 PKI 管理面板的。这样除了颁发客户端证书还可以颁发下级 SSL 证书。

    个人愚见.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1065 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 73ms · UTC 22:32 · PVG 06:32 · LAX 14:32 · JFK 17:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.