openssl 生成有效证书答案

【问题标题】：openssl generating valid certificateopenssl 生成有效证书
【发布时间】：2016-06-26 07:03:53
【问题描述】：

我已经使用他们提供的文档使用 openssl 生成了一个 ssl 证书。我已经一步一步完美地遵循了。但是，证书显示它是无效证书，并且在 https 上显示红线交叉。我对此进行了进一步的研发，我知道我生成的证书在开发时将有利于本地测试目的，当我们去发布我们的网站时，我们应该从有效的域名卖家那里购买证书（例如：老爹）。我的问题是我们是否可以使用 openssl 生成有效的 ssl 证书，以便我们可以将我已经存在的网站的 http 更改为 https。谁能解决我的问题。

【问题讨论】：

有太多的因素可以触发那个红十字，所以你至少应该挖掘一下你的情况是什么原因，us-cert.gov/ncas/tips/ST05-010
Stack Overflow 是一个编程和开发问题的网站。这个问题似乎离题了，因为它与编程或开发无关。请参阅帮助中心的What topics can I ask about here。也许Super User 或Information Security Stack Exchange 会是一个更好的提问地方。还有Where do I post questions about Dev Ops?.

标签： ssl ssl-certificate pkix

【解决方案1】：

为了获得全球信任，SSL 证书必须由受信任的权威机构签署。否则证书将只提供加密，不提供信任。

自签名证书是由您自己签名的，因此它们不受信任，因为您无法为自己保证。这就是为什么它们适用于本地测试（或您可以将证书配置为可信的网络），但不适用于您部署站点时。

为了正确配置 HTTPS，您需要从证书颁发机构获取证书。你不能用 OpenSSL 自己签名。

【讨论】：

请注意，证书颁发机构和域名注册商不必是同一实体。一个供应商可以两者都做，而给出的示例 GoDaddy 两者都做；但您也可以从一个供应商处获取域名，从另一个供应商处获取证书，只要您在申请证书之前拥有域。
@dave_thompson_085 是指我的回答吗？我从来没有提到他们是一样的。事实上，我什至没有提到注册商。
您的回答没有解决 DNS，但问题假定 CA=DNS（'来自...域名卖家的证书'）。我想我会帮助澄清。如果您愿意，我可以将其移至问题。

【解决方案2】：

您可以使用自己生成的证书（您已经生成的证书）进行测试，并在您的网站上线时将其替换为商业证书。当您获得商业证书时，您将使用 openssl 生成一个密钥对，并使用它向证书颁发者生成证书签名请求，证书颁发者将提供证书。

【讨论】：

您生成证书签名请求 (CSR) 并将其发送给 CA。您应该永远不要将您的密钥对（也称为私钥）发送给其他任何人。
@dave_thompson_085 - 同意，明确的答案。