根證書自建

⑴ 如果根證書伺服器起不來的話,遷移工作如何進行,遷移後證書是否還可用

根證書通常是離線的，簽發證書的工作一般由中級根通過RA來完成。直接用根證書來簽發終端用戶證書在CA業界被普遍認為是不安全的。根證書伺服器起不來，應該暫時不影響用戶證書的簽發。
在搭CA系統的時候，根證書按要求是必須要在加密卡里做備份的。如果備份沒有做，先確認下伺服器起不來是硬體問題還是系統問題。
硬體問題就更換硬體，系統問題可以嘗試系統恢復。如果軟硬體排查的工作都嘗試過，還是無法恢復，根密鑰也沒有做恢復。。。那就只有新建一個根證書了！
新建的根證書可以跟原有的中級根證書做交叉認證，就是拿新的根對原有的中級根重新做簽名。這樣已經簽發的證書無論在新根下面還是在老的根下面都是受信的。經過一段時間的緩沖，可以平滑的將老的根證書切換到新根下面。一般CA業界更新根證書也都是這么操作的。
推薦一下，用天威誠信的服務模式，建一個託管的CA系統。不必自建一套CA系統，也能夠在本地使用證書注冊伺服器。

⑵ 我下載了根證書，當我下載個人證書的時候，准備安裝時，要輸入私鑰密碼，我不懂是什麼意思，跪求解釋。

私鑰是用來安裝證書用的。
你有密碼，可以把證書安裝在電腦上了，之後密碼就沒用了。但電腦上的證書任何時候都在那裡。怎麼防止別有用心的人偷你的證書呢？
私鑰就解決這個問題，令偷竊者沒法偷盜證書，或者即使偷盜了，沒有私鑰，也不能用。

⑶ 為什麼「部署自簽SSL證書非常不安全」

自簽名SSL證書缺點如下：
1、自簽SSL證書最容易被假冒和偽造，被欺詐網站利用
自簽SSL證書是可以隨意簽發的，不受任何監管，您可以自己簽發，別人也可以自己簽發。如果您的網站使用自簽SSL證書，那黑客也可以偽造一張一模一樣的自簽證書，用在釣魚網站上，偽造出有一樣證書的假冒網銀網站！
2、部署自簽SSL證書的網站，瀏覽器會持續彈出警告
自簽SSL證書是不受瀏覽器信任的，用戶訪問部署了自簽SSL證書的網站時，瀏覽器會持續彈出安全警告，極大影響用戶體驗。
3、自簽SSL證書最容易受到SSL中間人攻擊
用戶訪問部署了自簽SSL證書的網站，遇到瀏覽器警告提示時，網站通常會告知用戶點擊「繼續瀏覽」，用戶逐漸養成了忽略瀏覽器警告提示的習慣，這就給了中間人攻擊可乘之機，使網站更容易受到中間人攻擊。
4、自簽SSL證書沒有可訪問的吊銷列表
這也是所有自簽SSL證書普遍存在的問題，做一個SSL證書並不難，使用OpenSSL幾分鍾就搞定，但真正讓一個SSL證書發揮作用就不是那麼輕松的事情了。要保證SSL證書正常工作，其中一個必備功能是要讓瀏覽器能實時查驗證書狀態是否已過期、已吊銷等，證書中必須帶有瀏覽器可訪問的證書吊銷列表。如果瀏覽器無法實時查驗證書吊銷狀態，一旦證書丟失或被盜而無法吊銷，就極有可能被用於非法用途而讓用戶蒙受損失。此外，瀏覽器還會發出「吊銷列表不可用，是否繼續？」的安全警告，大大延長瀏覽器的處理時間，影響網頁的流量速度。
5、自簽SSL證書支持超長有效期，時間越長越容易被破解
自簽證書中還有一個普遍的問題是證書有效期太長，短則5年，長則20年甚至30年。因為自簽證書製作無成本無監管，想簽發幾年就簽發幾年，而根本不知道PKI技術標准限制證書有效期的基本原理是：有效期越長，就越有可能被黑客破解，因為他有足夠長的時間(20年)來破解你的加密。

⑷ 目前國內CA廠商，哪個服務最好，SSL證書產品最好用

哪個國內CA的服務最好，這個不好說，各家都聲稱自己的服務好，但具體到國產SSL產品哪個最好，您可以參考以下三方面：
1.該CA在國內自建的SSL根證書是否已納入微軟、Mozilla、谷歌、蘋果這四家的根證書庫也就是被這四家信任。舉個例子，如果沒得到蘋果信任，SSL證書在IOS系統就會報錯。SSL根證書系統在國內自建是很重要的，這樣才能自主可控。

2.要關注這家CA的風控水平，如果風控水平不高，就有可能出現錯發證書的情況。對CA而言，錯發證書可能導致的最嚴重後果就是證書不再被上面說的那幾家證書庫信任，而如果你正好在用出事CA的證書，恐怕就得換掉了。

3.申請SSL證書需要向CA提交資料審核，然後再簽發。如果審核簽發太慢，會影響到你的使用。國內CA，效率高的一兩個工作日就能審核簽發，當然這指OV標准型證書。EV高級型五個工作日左右，因為需要律師函。

⑸ flash創建自簽名的數字證書不成功怎麼辦

何須要自簽名數字證書，去wosign CA申請一個免費的數字證書就可以了

⑹ nginx可以用openssl自建的CA證書反向代理互聯網的https網站嗎

當然不行呀，證書是由權威機構頒發的文件，自己生成的證書並不具備可信度，所以必須要向CA申請證書。這樣才能在互聯網上進行傳播。

CA證書

⑺ 自簽名證書和私有CA簽名的證書的區別 創建

自簽名證書是由創建它的人簽署的證書，而不是由受信任的證書機構簽發專的證書。自簽名證書普遍存屬在嚴重的安全漏洞，極易受到攻擊，而且通常不受瀏覽器信任。因此，不建議大家使用自簽名證書，以免造成巨大的安全隱患和安全風險，特別是重要的網銀系統、網上證券系統和電子商務系統。
使用自簽名證書兩個主要的弊端：
1）訪問者的連接可能會被劫持，從而攻擊者便能查看所有發送的數據（因此違背了加密連接的目的）
2）證書不能向受信任的證書那樣進行撤銷。

⑻ 哪種HTTPS改造方法和SSL證書比較好

HTTPS改造的方法很簡單，獲得Gworg SSL證書，拿到後部署到伺服器就可以了，較為外媒的套件與協議方案，通常最新的伺服器環境都可以達到。HTTPS協議主要體現的是信任度的，他需要信任度較高的CA機構完成，當然沒有絕對完美的SSL證書機構，早先我們知道的賽門鐵克也已經是過去式了，在全新的移動時代SSL證書比較好的是Gworg/光網，他擁有全球可信機構證書信任方案，如果在說機構哪個比較好，只能各家都聲稱自己的服務好，但具體到SSL產品哪個最好，您可以參考以下三方面：
1.該CA在國內自建的SSL根證書是否已納入微軟、Mozilla、谷歌、蘋果這四家的根證書庫也就是被這四家信任。舉個例子，如果沒得到蘋果信任，SSL證書在IOS系統就會報錯。SSL根證書系統在國內自建是很重要的，這樣才能自主可控。

2.要關注這家CA的風控水平，如果風控水平不高，就有可能出現錯發證書的情況。對CA而言，錯發證書可能導致的最嚴重後果就是證書不再被上面說的那幾家證書庫信任，而如果你正好在用出事CA的證書，恐怕就得換掉了。

3.申請SSL證書需要向CA提交資料審核，然後再簽發。如果審核簽發太慢，會影響到你的使用。國內CA，效率高的一兩個工作日就能審核簽發，當然這指OV標准型證書。EV高級型五個工作日左右，因為需要律師函。

⑼ 怎樣製作Windows應用程序數字簽名證書

證書自簽是不會被認證的，所以你得花錢到權威CA上進行購買證書，你可以訪問 VeriSign的官方網站購買證書。
證書自簽的話，你可以使用Sever系統自建證書管理伺服器，並對證書進行發布管理，但是因為你不是權威CA，你得證書也就只能在你創建的活動目錄中被承認，不能用於對外確認。

⑽ 瀏覽器證書有什麼用

看你使用瀏覽器證書還是USB Key證書，如果是瀏覽器證書的話是有問題隱患的，因為瀏覽器證書是可以被木馬導出來的，如果證書被導出來了就不安全了，如果你使用的是USB Key的證書，那麼請放心使用，不會有問題的，因為數字證書是保存在Key裡面的，Key裡面的證書是沒有辦法導出來的。工行的U盾也是安全的，因為它也是把數字證書保存在Key裡面的。

支付寶數字證書的情況又特殊一點，因為它是雙證書，如果證書被導出來了，然後再在其他機器上安裝，是需要驗證一些你預留的問題，所以相對安全些，但是也要看你機器中毒的情況，如果木馬病毒已經獲取了你的那些驗證問題的答案，那支付寶也是不安全的，另外支付寶是自建CA，出了問題是沒有第三方仲裁支持的，說也說不清楚，比較麻煩些。

以後你如果使用瀏覽器數字證書的話，最好選擇不可導出的瀏覽器數字證書，這樣的話就很安全了，目前浦發銀行是提供這種服務的。

希望能幫到你！

：） 0 回答者： xieliplay