自签名证书和证书颁发机构生成的证书有什么区别

Question

我想知道自签名证书和证书颁发机构生成的证书之间的区别。

我可以轻松地为 xyz.com 域创建一个自签名证书，那么该证书与 CA 生成的证书有什么区别？

场景

假设网站 xyz.com 使用颁发给 xyz.com 的证书进行保护，并且拥有该证书的客户端可以访问该网站由网站发布。

我还可以为 xyz.com 创建一个自签名证书，那么我的服务器将如何处理这个假证书？

Answer 1

如果您的浏览器中已经安装了该 CA 的证书，那么当您的浏览器遇到声称由某个 CA 签名的证书时，它可以验证它确实是由该 CA 签名的。 CA 本身通常会在签署您的证书之前以某种方式验证您的身份。

您的自签名证书仅由您自己的 CA 签名。没有人验证该证书实际上属于它声称属于的人。您可以将自己的CA根证书安装到浏览器中。这样您就不会收到有关证书的那些烦人的警告消息。其他用户通常不会安装您自己的 CA 根证书，但仍会收到警告。

Answer 2

证书本身没有区别。重要的是 CA 充当可信第三方。也就是说，客户可能不知道您是谁，但如果他们信任 CA，并且 CA 为您提供担保，那么他们就可以信任您。重要的不是证书本身，而是 CA 提供的信任链。

Answer 3

CA 还会对您的身份进行一些验证，以便在使用网站时增加额外的信心。自签名证书可能不会在客户端浏览器上获得完整的“挂锁”。

Answer 4

为了完成其他答案，操作系统预装了来自 Microsoft 或其他受信任机构的一些根证书。如果您的证书是由其中之一签署的，则不会显示任何警告。如果证书由操作系统无法识别的 CA 签名，则会显示警告。

Answer 5

自签名证书与 CA 颁发的证书之间的主要区别在于信任链。如果您签署自己的证书，那么当您或其他人使用它时，他们将必须特别信任您签署证书所用的服务器。执行此操作的方法是将证书添加到浏览器（即 Firefox 或适用于 MSIE 或 Chrome 的 Microsoft CAPI 存储）中的“受信任的 CA 根”列表中，或者添加到适用于 Java 应用程序的 cacerts 文件中。否则，您的自签名证书将不会受到信任，并且您将收到“警告”或错误消息，具体取决于您在该环境（即 Java 或特定浏览器）中的安全设置的严格程度。

对于由 CA 签名的证书，如果签署该证书的 CA 或该 CA 的可信根（签署该 CA 证书的根）已在您的相关信任库（即浏览器或Java 的 cacerts 文件）。 Microsoft 和 Oracle（针对 Java）不断更新受信任的 CA 并为已被泄露或撤销的 CA 或授权机构管理 CRL（证书撤销列表）。

通常，这些受信任的 CA 之一（如 verisign、entrust 等）会收取 $$ 的费用来签署和颁发证书，并且有效期越长，收取的费用就越多。

自签名的是免费的，并且可以发布很长一段时间（尽管不推荐）。