今天,我在网站上安装了免费的ssl证书,这很简单,但是我对此有一些疑问。 FreeSSL返回了三个文件:“ private.key”,“ certificate.crt”,“ ca_bundle.crt”。所以有我的问题:
1)此私钥属于谁?这是我的(服务器)私钥吗?我不这么认为,因为事实确实如此,事实证明免费SSL知道我的私钥。
2)“ certificate.crt”实际上是我服务器的证书,对吗?
3)“ ca_bundle.crt”。这是唯一的中间证书,根证书又如何?我不需要CA的根证书吗?
答案 0 :(得分:2)
此私钥属于谁?这是我的(服务器)私钥吗?我不这么认为,因为事实确实如此,事实证明免费SSL知道我的私钥。
如果您是从SSL供应商那里获得的,则可以,它们属于您的网站,并且SSL供应商了解您的私钥,因此它们不再是私钥。来自CA供应商的做法是非常糟糕的做法。
“ certificate.crt”实际上是我服务器的证书,对吧?
是的,它是证书的公共部分。私密部分是关键。
捆绑包中不需要“ ca_bundle.crt”。这是唯一的中间证书,根证书又如何?我不需要CA的根证书吗?
根CA证书,因为它们必须预先安装在客户端浏览器中(通常,浏览器供应商会提供全球信任的根CA列表),因此,如果您的SSL供应商是全球受信任的,则客户端已经拥有它在他们的浏览器中。如果SSL供应商不受全球信任(默认情况下不包含在浏览器中),则捆绑包中的根证书将不具备,因为它不受信任(即使它是在SSL / TLS握手期间提供的),并且需要手动安装在浏览器中显示它(不建议用于公开访问的网站)。