有多少人意识到，当给自己网站申请 TLS/SSL 证书的时候，证书服务商不应该掌握你的私钥！

国内很多 TLS/SSL 证书服务商，都是服务商自己又生成私钥，又生成公钥证书，然后让你下载。

美其名曰操作简便！

而正规 TLS/SSL 证书生成流程，早在 Win2000 Server 时代自带的“证书”服务就演示清楚了

当时在 Win2000 中，是由 IE 浏览器（需要 ActiveX 控件）在浏览器中本地生成证书私钥和 CSR ，然后 IE 将 CSR 提交到“证书”服务，服务端颁发证书后，再由 IE 下载回来并与本地私钥合并。最终用户可以得到可导出的 p12 文件。

自始至终“证书”服务都没有接触过用户私钥匙。

而今很多用户对某些证书服务商掌握客户证书私钥默认觉得应该就是这样，不免有些感叹！


另外说下 acme.sh 这点还是做的不错的，它就是本地生成私钥，通过 CSR 提交给服务商的，服务商是不掌握用户私钥的。