任何人都可以推荐客户 ssl-certificates 服务吗？

Question

我正在查看各种 SSL 提供商，但它们似乎都提供“电子邮件证书”，可以兼作客户端证书，可以安装到浏览器中。

是否有任何公司真正销售客户证书并知道他们在说什么？

Answer 1

X509v3 证书可以仅限于特定用途。一些 S/MIME 证书受到限制，因此它们不能用于网站，但大多数不是。

Thawte 不再颁发客户端证书。我 2003 年的证书具有“SSL 客户端，S/MIME”的证书类型”，表明它们可以用于电子邮件和客户端证书。我 2009 年 4 月 27 日的证书只有一个约束，它不能用作证书颁发机构。

Apple 的 iChat 加密证书只能用于 SSL 客户端。如果您是 me.com 客户并启用安全 iChat，您将自动获得此信息。

您可能会发现颁发自己的证书是最容易的。很多人都这样做，而且效果很好。您需要让用户加载您自己的密钥作为 CA。

Answer 2

客户端证书通常仅在信任它的服务的上下文中才有意义。

例如，当 Windows 计算机加入域时，该客户端工作站（内部）生成一个密钥对，域控制器对其进行签名，并且该签名对（现在成为证书，尽管不是 X509 证书）并被使用内部由窗户。证书只对域控制器有意义。

运行自己的 CA 的大型组织通常会向希望使用 SSL 身份验证访问安全站点的人员颁发客户端证书。

客户端证书在整个 Internet 上可能很少见的原因是吊销问题。 Thawte 向您（个人）颁发客户证书意味着他们必须负责管理其撤销。为了使其具有成本效益，那里会有大量的证书；而且他们会不断被撤销，因为个人经常会出现个人安全漏洞。