ssl证书的问题

taohui

ssl证书是不是只有第三方认证的才被认可？如果没有认证者是这样显示：“安全连接失败！该证书因为其自签名而不被信任。”
自己能否作为证书认证者，而不产生一个类似错误一样的提示?

taohui

按照这个我看要购买证书

第一步：生成CSR文件和密钥

CSR包含公司的信息，包括域名，公司名，联系方式等，还有密钥对中的公钥，私钥应该保存在本地，注意，必须保存好本地的私钥，如果遗失或者泄漏，这个证书就没有用了。

“OpenSSL”工具被用来生成CSR和密钥，它来自于OpenSSL包，一般被安装在/usr/local/ssl/bin目录下，如果您安装在其他目录下，请做相应调整：

1． 切换目录到SSL KEY，输入

cd /usr/local/ssl/private

2． 输入下列命令生成密钥对：

openssl genrsa -des3 1024 > /ssl.key

3． 切换目录到SSL Certificate：

cd /usr/local/ssl/crt

4． 使用下列命令生成CSR文件：

openssl req -new -key /ssl.key > ssl.csr

第二步：提交CA，签名

一般有：

1.verisign 的 Secure Site，一年报价 RMB 6000 www.itrus.com.cn

2. thawte 的 SSL123，一年报价 129$ http://www.thawte.com

3. geotrust 的 RapidSSL，一年报价 RMB 488 www.myssl.cn

这里主要是对网站做认证，然后对CSR提交签名，（你可以在网站上，对CSR做检查，如果CSR有问题，不要急着付钱，有些地方先让你付钱，然后说你的CSR或者，提交的资料有问题，骗钱，这个大家当心）签名好以后，发把证书发回来，记得用文本方式保存下来。

第三步：装回证书

1.将证书内容存成一个文件

您会收到一封来自迅通诚信的邮件，证书内容附在服务器中。如果证书是以附件的形式(Cert.cer)夹带在邮件中，您就可以直接应用它。如果您的证书中以文本的方式存在邮件中，您就需要将邮件中的证书部分的内容用Vi或Notepad存成一个纯文本文件。不要将其存成Microsoft Word 或其它字处理软件格式，并确定证书内容中不含有空行和空格。如下所示：

将证书文件存到某个目录下，比如： /etc/ssl/crt/。公钥文件和私钥文件都钥存到这个目录下。私钥可以标记成private.key，公钥标记成public.crt。

我们建议您将存私钥的目录改为只读属性。

2.下载中间级证书

如果您申请的是级联式服务器证书，您需要安装中间级证书，以构成一个证书链，使浏览器信任您的证书；否则无须安装，可直接进入下一步。将中间级证书存成一个文本文件，命名为"intermediate.crt"，将它存到第一步中的相同目录下：/etc/ssl/crt/ 。

配置httpd.conf文件

要将证书应用到您的服务器中，必须配置httpd.conf文件，您需要加入下列SSL 目录信息：

SSLCertificateFile /etc/ssl/crt/public.crt //本地证书文件

SSLCertificateKeyFile /etc/ssl/crt/private.key //私钥文件

SSLCertificateChainFile /etc/ssl/crt/intermediate.crt //中间级证书文件，应用于全球服务器证书

您需要根据具体情况修改SSL 目录信息

将httpd.conf文件存盘并重新启动Apache，您可以用以下命令启动Apache：

apachectl stop

apachectl&nbs p;startssl

您现在已经将服务器证书应用到您的Apache服务器了

ipaddr

自己生成的证书，也是可以用的，你可以加到受信任的证书当中。不过要在每个客户端加一次。

如果是IE默认受信任证书，是需要购买的。

fd1803

证书只能从第3方机构来购买，你自己做的证书是浏览器不信任的呢
可以在这里申请免费且浏览器信任的证书哦：http://www.wosign.com/Products/free_SSL.htm