请问我在 startSSL 申请的免费证书，能用来制作双向认证的证书吗？

2015-03-24 10:38:17 +08:00

9xrtp7r1

我在startSSL申请了一个免费数字证书，已经部署成功，可以让网站正常访问了

因为这个网站是内部的系统，不希望外部的人访问到

所以我想用双向认证，但是我不会弄

网上的教程都是教要自己做ca，可是这样的话浏览器就不认识了，需要把自己的ca加入信任，但我怕ca被盗，会给我们的用户带来麻烦

所以请问大家，这个start申请来的ssl证书可以制作双向认证吗？

或者你有其他更好的办法来实现，限制外部人员的访问吗

网站的入口就是一个登陆页面。所以才不希望任何没有授权的人访问

谢谢大家

4934 次点击

所在节点

问与答

29 条回复

xenme

2015-03-24 11:03:55 +08:00

免费的不行，你需要的是中级证书。
http://www.startssl.com/?app=5

sarices

2015-03-24 11:48:14 +08:00

搭个话，问问
自签证书可不可以做双向？
双向证书是不是有证书的客户端才能访问？
客户的证书是不是所有客户都用同一个？
谢谢

wzxjohn

2015-03-24 12:01:46 +08:00

@sarices 自签可以双向，只是系统默认不信任而已。

publicID001

2015-03-24 12:33:25 +08:00

可以让你的所有客户申请一个Startcom的email证书，客户用你网站的证书验证你的身份，你用客户的email证书验证客户身份

julyclyde

2015-03-24 13:37:04 +08:00

可以双向。要求客户端出示指定CA签发的证书

NewYear

2015-03-24 16:54:37 +08:00

我以前也想过这个问题，双向认证真的算是一个很赞的方案。

关注。

9xrtp7r1

2015-03-24 17:05:33 +08:00

@xenme 谢谢您，我看页面好像写2美元一个，我目前用的免费证书，如果用这个中级的证书需要多少钱，一个客户端给2美元就可以了吗。这个证书本身需要多少钱呢 [我英语不太好] 找了半天也没有找到入口

9xrtp7r1

2015-03-24 17:07:07 +08:00

@sarices 自己搭建浏览器会提示危险，但你可以把自建的加入浏览器的信任里面就不提醒了，但是如果你的ca根证书被盗，那可能就会带来很可怕的风险

9xrtp7r1

2015-03-24 17:07:44 +08:00

@publicID001 哦哦那需要钱吗有教程吗，用什么关键词去搜索这方面的教程呢谢谢您

9xrtp7r1

2015-03-24 17:07:51 +08:00

@julyclyde 谢谢

ooxxcc

2015-03-24 17:21:44 +08:00

可以双向认证

startssl的证书用来客户认证服务器，服务器认证客户可以用另一套ca/证书组合

9xrtp7r1

2015-03-24 17:24:16 +08:00

@ooxxcc 谢谢请问如何设置呢，有对应教程吗或者我应该用什么关键词去搜对应的教程呢谢谢您

vibbow

2015-03-24 17:31:14 +08:00

@9xrtp7r1 http://vsean.net/blog/post/194

ooxxcc

2015-03-24 17:32:44 +08:00

@9xrtp7r1 你用的什么服务端？

nginx的话，大概这样的

ssl_certificate <startssl cert>
ssl_certificate_key <private key>

ssl_client_certificate <self-signed ca cert>
ssl_verify_client on

搜一下有很多教程

imnpc

2015-03-24 17:38:39 +08:00

好像需要将证书转换为pfx？然后双向认证

publicID001

2015-03-24 17:54:24 +08:00

@9xrtp7r1 不要，就和你登录startssl的证书一样，也给客户申请这种证书就行。

关键词类似apache/php证书认证等 13楼也提到了。

另外楼上说的中级根不是大企业基本不用想了，不是一般的贵和麻烦，而且这是为了自己签发用的，你这个让客户直接找startssl就好。

9xrtp7r1

2015-03-24 17:54:26 +08:00

@vibbow

谢谢我用的 nginx ，目前网站是ssl访问的，用的是startssl的免费证书，但我不知道如何弄成双向认证，以前我用自己签发ca 签发客户端，服务器证书的方式实现过双向认证；但它显示不信任，所以我想用系统信任的证书机构的证书来实现双向认证

9xrtp7r1

2015-03-24 17:55:11 +08:00

@ooxxcc 谢谢我用的 nginx ，目前网站是ssl访问的，用的是startssl的免费证书，但我不知道如何弄成双向认证，以前我用自己签发ca 签发客户端，服务器证书的方式实现过双向认证；但它显示不信任，所以我想用系统信任的证书机构的证书来实现双向认证

9xrtp7r1

2015-03-24 17:59:09 +08:00

@publicID001 谢谢您的再次回复，目前用我们网站的客户数量就6个左右，不多，并且以后也不会很多的，因为是内部用，您的意思是我去startssl给每个客户申请一个证书吗，如果我给每个客户申请了证书，如果再服务器上验证他们的身份呢，我用的 nginx ，我想应该要让nginx获取客户提交的证书的某些信息，如果符合就放行，否则就拦截，我不太了解如何在nginx上设置鉴权，您是否有办法呢

yangff

2015-03-24 18:13:15 +08:00

。。你自签一个root ca，然后把双向验证的证书弄好，把root ca的key删掉，把造root ca的服务器砸了烧掉，问题解决。

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/178959

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.