要建立受信任的 SSL 连接,我需要创建一个证书请求。例如,如果我使用 openSSL,我可以通过以下命令来完成:
openssl req -new -key privkey.pem -out cert.csr
任何人都可以做到。我想知道 CA 如何确保证书请求来自我?也许其他人代表我创建了证书请求。也许我发给 CA 的邮件被黑了,证书请求被替换了。我可以签署我的证书请求并将我的签名公钥发送给 CA(例如在单独的邮件中)吗?在这种情况下,可以确保证书请求来自我。
CA 如何确保证书请求来自我?
信息安全
证书
证书颁发机构
2021-08-12 22:58:14
1个回答
不同的 CA 有不同的方法,每个 CA 有不同的方法,具体取决于您支付的信任级别。(如Extended Validation获取绿色地址栏)
小型 CA 具有基本级别的验证,您只需给他们一个电子邮件地址,他们就会向您发送一封电子邮件,从而验证您确实拥有与证书关联的电子邮件地址。这些通常花费 15-30 美元,并被宣传为即时验证。
标准 CA 验证涉及为您公司的至少一个联系人提供电话号码。CA 首先查找电话号码以验证它是否属于注册证书的公司,然后通过电话进行检查并让联系人接听电话并同意他们知道此证书请求。
更高级别的验证涉及传真公司文件(营业执照、注册等)
...所以为了简短起见,这取决于您为什么样的信任付出了代价,以及哪家公司会为您伸出援手。