根证书自建

⑴ 如果根证书服务器起不来的话,迁移工作如何进行,迁移后证书是否还可用

根证书通常是离线的，签发证书的工作一般由中级根通过RA来完成。直接用根证书来签发终端用户证书在CA业界被普遍认为是不安全的。根证书服务器起不来，应该暂时不影响用户证书的签发。
在搭CA系统的时候，根证书按要求是必须要在加密卡里做备份的。如果备份没有做，先确认下服务器起不来是硬件问题还是系统问题。
硬件问题就更换硬件，系统问题可以尝试系统恢复。如果软硬件排查的工作都尝试过，还是无法恢复，根密钥也没有做恢复。。。那就只有新建一个根证书了！
新建的根证书可以跟原有的中级根证书做交叉认证，就是拿新的根对原有的中级根重新做签名。这样已经签发的证书无论在新根下面还是在老的根下面都是受信的。经过一段时间的缓冲，可以平滑的将老的根证书切换到新根下面。一般CA业界更新根证书也都是这么操作的。
推荐一下，用天威诚信的服务模式，建一个托管的CA系统。不必自建一套CA系统，也能够在本地使用证书注册服务器。

⑵ 我下载了根证书，当我下载个人证书的时候，准备安装时，要输入私钥密码，我不懂是什么意思，跪求解释。

私钥是用来安装证书用的。
你有密码，可以把证书安装在电脑上了，之后密码就没用了。但电脑上的证书任何时候都在那里。怎么防止别有用心的人偷你的证书呢？
私钥就解决这个问题，令偷窃者没法偷盗证书，或者即使偷盗了，没有私钥，也不能用。

⑶ 为什么“部署自签SSL证书非常不安全”

自签名SSL证书缺点如下：
1、自签SSL证书最容易被假冒和伪造，被欺诈网站利用
自签SSL证书是可以随意签发的，不受任何监管，您可以自己签发，别人也可以自己签发。如果您的网站使用自签SSL证书，那黑客也可以伪造一张一模一样的自签证书，用在钓鱼网站上，伪造出有一样证书的假冒网银网站！
2、部署自签SSL证书的网站，浏览器会持续弹出警告
自签SSL证书是不受浏览器信任的，用户访问部署了自签SSL证书的网站时，浏览器会持续弹出安全警告，极大影响用户体验。
3、自签SSL证书最容易受到SSL中间人攻击
用户访问部署了自签SSL证书的网站，遇到浏览器警告提示时，网站通常会告知用户点击“继续浏览”，用户逐渐养成了忽略浏览器警告提示的习惯，这就给了中间人攻击可乘之机，使网站更容易受到中间人攻击。
4、自签SSL证书没有可访问的吊销列表
这也是所有自签SSL证书普遍存在的问题，做一个SSL证书并不难，使用OpenSSL几分钟就搞定，但真正让一个SSL证书发挥作用就不是那么轻松的事情了。要保证SSL证书正常工作，其中一个必备功能是要让浏览器能实时查验证书状态是否已过期、已吊销等，证书中必须带有浏览器可访问的证书吊销列表。如果浏览器无法实时查验证书吊销状态，一旦证书丢失或被盗而无法吊销，就极有可能被用于非法用途而让用户蒙受损失。此外，浏览器还会发出“吊销列表不可用，是否继续？”的安全警告，大大延长浏览器的处理时间，影响网页的流量速度。
5、自签SSL证书支持超长有效期，时间越长越容易被破解
自签证书中还有一个普遍的问题是证书有效期太长，短则5年，长则20年甚至30年。因为自签证书制作无成本无监管，想签发几年就签发几年，而根本不知道PKI技术标准限制证书有效期的基本原理是：有效期越长，就越有可能被黑客破解，因为他有足够长的时间(20年)来破解你的加密。

⑷ 目前国内CA厂商，哪个服务最好，SSL证书产品最好用

哪个国内CA的服务最好，这个不好说，各家都声称自己的服务好，但具体到国产SSL产品哪个最好，您可以参考以下三方面：
1.该CA在国内自建的SSL根证书是否已纳入微软、Mozilla、谷歌、苹果这四家的根证书库也就是被这四家信任。举个例子，如果没得到苹果信任，SSL证书在IOS系统就会报错。SSL根证书系统在国内自建是很重要的，这样才能自主可控。

2.要关注这家CA的风控水平，如果风控水平不高，就有可能出现错发证书的情况。对CA而言，错发证书可能导致的最严重后果就是证书不再被上面说的那几家证书库信任，而如果你正好在用出事CA的证书，恐怕就得换掉了。

3.申请SSL证书需要向CA提交资料审核，然后再签发。如果审核签发太慢，会影响到你的使用。国内CA，效率高的一两个工作日就能审核签发，当然这指OV标准型证书。EV高级型五个工作日左右，因为需要律师函。

⑸ flash创建自签名的数字证书不成功怎么办

何须要自签名数字证书，去wosign CA申请一个免费的数字证书就可以了

⑹ nginx可以用openssl自建的CA证书反向代理互联网的https网站吗

当然不行呀，证书是由权威机构颁发的文件，自己生成的证书并不具备可信度，所以必须要向CA申请证书。这样才能在互联网上进行传播。

CA证书

⑺ 自签名证书和私有CA签名的证书的区别 创建

自签名证书是由创建它的人签署的证书，而不是由受信任的证书机构签发专的证书。自签名证书普遍存属在严重的安全漏洞，极易受到攻击，而且通常不受浏览器信任。因此，不建议大家使用自签名证书，以免造成巨大的安全隐患和安全风险，特别是重要的网银系统、网上证券系统和电子商务系统。
使用自签名证书两个主要的弊端：
1）访问者的连接可能会被劫持，从而攻击者便能查看所有发送的数据（因此违背了加密连接的目的）
2）证书不能向受信任的证书那样进行撤销。

⑻ 哪种HTTPS改造方法和SSL证书比较好

HTTPS改造的方法很简单，获得Gworg SSL证书，拿到后部署到服务器就可以了，较为外媒的套件与协议方案，通常最新的服务器环境都可以达到。HTTPS协议主要体现的是信任度的，他需要信任度较高的CA机构完成，当然没有绝对完美的SSL证书机构，早先我们知道的赛门铁克也已经是过去式了，在全新的移动时代SSL证书比较好的是Gworg/光网，他拥有全球可信机构证书信任方案，如果在说机构哪个比较好，只能各家都声称自己的服务好，但具体到SSL产品哪个最好，您可以参考以下三方面：
1.该CA在国内自建的SSL根证书是否已纳入微软、Mozilla、谷歌、苹果这四家的根证书库也就是被这四家信任。举个例子，如果没得到苹果信任，SSL证书在IOS系统就会报错。SSL根证书系统在国内自建是很重要的，这样才能自主可控。

2.要关注这家CA的风控水平，如果风控水平不高，就有可能出现错发证书的情况。对CA而言，错发证书可能导致的最严重后果就是证书不再被上面说的那几家证书库信任，而如果你正好在用出事CA的证书，恐怕就得换掉了。

3.申请SSL证书需要向CA提交资料审核，然后再签发。如果审核签发太慢，会影响到你的使用。国内CA，效率高的一两个工作日就能审核签发，当然这指OV标准型证书。EV高级型五个工作日左右，因为需要律师函。

⑼ 怎样制作Windows应用程序数字签名证书

证书自签是不会被认证的，所以你得花钱到权威CA上进行购买证书，你可以访问 VeriSign的官方网站购买证书。
证书自签的话，你可以使用Sever系统自建证书管理服务器，并对证书进行发布管理，但是因为你不是权威CA，你得证书也就只能在你创建的活动目录中被承认，不能用于对外确认。

⑽ 浏览器证书有什么用

看你使用浏览器证书还是USB Key证书，如果是浏览器证书的话是有问题隐患的，因为浏览器证书是可以被木马导出来的，如果证书被导出来了就不安全了，如果你使用的是USB Key的证书，那么请放心使用，不会有问题的，因为数字证书是保存在Key里面的，Key里面的证书是没有办法导出来的。工行的U盾也是安全的，因为它也是把数字证书保存在Key里面的。

支付宝数字证书的情况又特殊一点，因为它是双证书，如果证书被导出来了，然后再在其他机器上安装，是需要验证一些你预留的问题，所以相对安全些，但是也要看你机器中毒的情况，如果木马病毒已经获取了你的那些验证问题的答案，那支付宝也是不安全的，另外支付宝是自建CA，出了问题是没有第三方仲裁支持的，说也说不清楚，比较麻烦些。

以后你如果使用浏览器数字证书的话，最好选择不可导出的浏览器数字证书，这样的话就很安全了，目前浦发银行是提供这种服务的。

希望能帮到你！

：） 0 回答者： xieliplay