我购买了一个真实的SSL证书来验证我的计算机和我正在托管一些WCF服务的域。
如何使用MakeCert创建由此正式证书签名的客户端证书,以便在客户端计算机上使用它来验证它们是否连接到正确的(我的)服务器?
客户端证书将用于验证我的服务器上WCF服务的使用。
答案 0 :(得分:5)
一般情况下你不能。每个证书都是为特定目的(密钥用法)颁发的。在您的情况下,它很可能是SSL身份验证。此类证书不能用于签署其他证书(从技术上讲,它们可以,但在验证期间不会接受此类签名)。支持CA的证书需要花费大量资金,您需要满足某些组织要求。
您不需要仅为了验证服务器而创建客户端证书 - 服务器的证书就是用于此目的。客户端证书用于告知服务器客户端是谁,即用于服务器上的客户端身份验证。对于此类证书,您无需使用服务器证书对其进行签名 - 您可以创建自签名客户端证书,也可以创建一个自签名证书,该证书将充当CA并使其在服务器上受信任。然后使用此自签名证书颁发客户端证书。
完成上述所有操作需要了解PKI和X.509证书的工作原理(而BTW它们不是“SSL证书”,与SSL无关)。