具有 SSL (https) 功能的軟體，該申請哪種憑證？

ssl 憑證

wiseguy 2012-11-21 17:20:26 ‧ 18210 瀏覽

如果企業行號網站，需要 SSL 功能，可以申請一個網站憑證來安裝，就可以有 SSL (https) 的功能。網站憑證分為單網域SSL憑證、多網域SSL憑證、萬用網域SSL憑證，用以符合企業多網域名稱的需求。

但是如果是企業行號要賣給客戶的軟體，就要帶有 SSL 的功能(比如含有 apache 的 web system)，而且不管客戶用 domain name 或 IP 安裝，都不能有憑證不合法的警告訊息，那麼請問，這種憑證是得申請哪一種憑證？感謝。

海綿寶寶 iT邦大神 1 級 ‧ 2012-11-22 00:42:15 檢舉

wiseguy提到：
不管客戶用 domain name 或 IP 安裝，都不能有憑證不合法的警告訊息

就我的了解
這點應該是不可行

憑證的用途之一就是驗明正身
而在網路世界中的身分之一
就是IP,Domain name

如果不同的IP.Domain name都能用同一張憑證
那那張憑證其實沒什麼用了

我以前的專案
是先架好網站
最後才申請domain name
然後才申請SSL憑證

海綿寶寶 iT邦大神 1 級 ‧ 2012-11-22 08:19:40 檢舉

其實憑證的安全性
除了在使用的過程以外
有很大部份是建立在「申請」的過程
不管是負責實體認證的機構或是負責技術層面的CA

另外
以前做過的案子
甲方開始時說「我們系統很重要，一定要SSL」
案子開發時
我用openssl自己發憑證自己用
等到案子真的要上了
甲方一聽到申請憑證要費用
馬上改口「系統先上，憑證之後再申請」

花輪 iT邦大師 1 級 ‧ 2012-11-22 08:31:18 檢舉

我想，就算發了憑證，有效期是個問題，CRL 也是個問題，除非發出的憑證有效期很長！

我也覺得...不可行，尤其是要「賣」而且還不能出現錯誤訊息...

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

5 個回答

Blue Jacky

iT邦大師 1 級 ‧ 2012-11-22 05:00:41

最佳解答

這個問題問的有點"奇怪"
似乎有些違背 SSL 的初衷
但並非不能完成
只是作法(機制)複雜了點

考量『賣給客戶的軟體，就要帶有 SSL 的功能』
因此在『賣給客戶的軟體』安裝設計上
必須於正式安裝軟體前先利用 Open SSL <- 願意花錢買認證的話另當別論
安裝一部能自己發行憑證給自己的認證伺服器
然後再把"真正的軟體"裝上
而這一切完全都得"自動化"安裝完畢
並且把所有可能的安裝"障礙"排除 <- 這真有點難度
這樣就可達到所要求目的
只是...

下面範例可以參考看看
http://www.howtoforge.com/perfect-server-debian-squeeze-with-bind-and-dovecot-ispconfig-3-p4

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

wiseguy iT邦超人 1 級 ‧ 2012-11-22 09:03:01 檢舉

jacky1122提到：
於正式安裝軟體前先利用 Open SSL <- 願意花錢買認證的話另當別論
安裝一部能自己發行憑證給自己的認證伺服器
然後再把"真正的軟體"裝上
而這一切完全都得"自動化"安裝完畢

以上動作一點問題也沒有。這我在安裝步驟就已試過N遍，裝完一切 OK。

問題是出在《自己發行憑證給自己》這種憑證會有警告，所以憑證要向憑證大廠買，不能自己發給自己 (除非自己是 CA)。問題是似乎沒人在賣這種《萬用憑證》 ....

Blue Jacky iT邦大師 1 級 ‧ 2012-11-22 13:54:09 檢舉

軟體在安裝時就必須先把憑證匯入至瀏覽器(或使用者的系統)
運作機制就像中國的 CNNIC 一樣 <- 不知道的話可參考文末
採預先"置入"就不會出現任何警告訊息

關於 CNNIC 憑證
http://blog.csdn.net/program_think/article/details/5309699
http://www.newcenturynews.com/Article/china/201001/20100130103247.html
http://www.taoguba.com.cn/Article/262992/1

wiseguy iT邦超人 1 級 ‧ 2012-11-22 14:58:43 檢舉

先匯入憑證當然就不會有警告。
但 ... 買軟體的客戶，他的網站是要提供給一般大眾使用的。一般大眾幾乎不可能會那麼體貼地先去匯入憑證。

Blue Jacky iT邦大師 1 級 ‧ 2012-11-23 12:40:32 檢舉

wiseguy提到：
一般大眾幾乎不可能會那麼體貼地先去匯入憑證

這裏的"憑證匯入"是指對瀏覽器
像一般防毒軟體在安裝時就可以作到"匯入"這點
只是閣下該作是"匯入憑證"
現行類似機制的像金融單位的 WebATM
很多就是採用這種模式

登入發表回應

ted99tw

iT邦高手 1 級 ‧ 2012-11-21 17:26:52

只有10點？Wiseguy大的問題至少都要一百點起跳...

回應 2
分享
檢舉

wiseguy iT邦超人 1 級 ‧ 2012-11-21 17:55:49 檢舉

真是的，沒 100 點可選 ...

talk9889 iT邦新手 4 級 ‧ 2012-12-19 13:14:17 檢舉

請教一下點數問題，個人我提問過問題有有附上點數，但是問題已經到期系統發信跟我說已到期，但是我一直收到信件說已過期，心裡在想是否沒有把點數給回應者才一直收到(是我想得這樣嗎?)

如果是這樣子的話，我該怎麼做?才能給回應的大大們點數!!!
介面的使用都找過了，一直找不到點，請指教.....

登入發表回應

hon2006

iT邦大師 1 級 ‧ 2012-11-21 23:49:28

http://www.godaddy.com/ssl/ssl-certificates.aspx?ci=9039
比 Verisign 便宜

回應 1
分享
檢舉

wiseguy iT邦超人 1 級 ‧ 2012-11-21 23:51:12 檢舉

謝謝你的回應。我不是要比價，是不知道該買哪一種憑證。

登入發表回應

bizpro

iT邦大師 1 級 ‧ 2012-11-22 09:57:02

賣給客戶的系統, 用的是單一的FQDN, 那只需單網域SSL, 如果要加綠標, 就買Extended Validation(EV).

回應 2
分享
檢舉

wiseguy iT邦超人 1 級 ‧ 2012-11-22 15:03:05 檢舉

一套軟體賣給不同的客戶，他們安裝的 Domain name 幾乎不可能會一樣。而且若內部使用的話，更有可能只使用 IP 而已，根本沒 FQDN。

bizpro iT邦大師 1 級 ‧ 2012-11-23 10:03:55 檢舉

當然是每個客戶不同的FQDN, 當然要個別申請. 這是SSL憑證的重點啊. 你如果要用IP, 就沒有申請各家"瀏覽器認證"的第三方CA簽發的SSL憑證的條件了.

登入發表回應

tsengleoo

iT邦研究生 1 級 ‧ 2012-11-23 21:02:02

http://www.twca.com.tw/Portal/product/ssl.html
可能SAN類型的憑證會比較符合你的需求，可參考上述的連結
若要自己發行憑證則可以參考自主管理型SSL憑證
要避免出現錯誤訊息，可以將憑證與軟體置放於同一個安裝檔
後續則依照需求定期/不定期並自動/手動更新憑證