怎么用受信机构颁发的证书做双向验证？

一般给的证书都是指定了用途的吧
应该不行

不是所有的证书都可以用来签发的，需要 Key Usage Extension Field 里面有 Key Cert Sign 才行。

一般的 TLS 证书是不行的。

@dndx 怎么样查看一个证书是否支持？

@cevincheung 一般购买的都不行的。

@dndx 这不是上级证书么？

@cevincheung 就是上级证书才可以，

两个方向是独立的吧
所以不需要一样？

@wy315700 所以要做双向验证的话只能自签名？

@cevincheung
不然你以为为什么支付宝要安装一个根证书到电脑里。

以前也想过这个问题，据说可信机构颁发的邮件证书可以用在这里，目前邮件证书免费就沃通的时间比较长。你试试看如何？

@yeyeye 已经自签名了

@cevincheung 试了下沃通的 去到双向认证的站点会提示选择，应该是可以用的，这样 2 边都是可信任的，就不用自己签名了，我觉得自签名真心不好

是可以的，沃通网站登录就是用的双向认证，他们的客户端证书可以免费申请，也都是可信的。 https://login.wosign.com/

@yeyeye 企业应用，一个开放在公网的 ERP ，要能随意随时签发证书给平台上的用户，沃通的 email 证书可以？买一个就可以用这个证书给用户签发？

@cevincheung 你这个需求上面没有说明 所以拜托你不要一个又一个的反问好么 = =！

我只是认为不要搞自签名比较好，如果你认为你的场景自签名是最好的，那你选择它就好了。

@yeyeye - -# 木有反问啊，这是疑问啊。。。。。

@cevincheung 申请流程挺简单，人工去输入邮箱地址，然后邮箱收取验证码，填上验证码，会出现证书下载链接（直接在网页上显示，只能下载一次）

免费 3 年期限

@cevincheung 企业可以考虑自签的 CA 这样在公司统一的机器上都同步根 CA 就可以了 然后就可以自己部署企业 PKI, windows server 貌似有这样复杂的功能 可以很好的管理域中的 client. 当然，如果实际情况不然，可以考虑公共 CA 的 PKI 服务，要记得挑有 API 访问权限和功能强大点的 PKI 管理面板的。这样除了颁发客户端证书还可以颁发下级 SSL 证书。

个人愚见.