iT邦幫忙

0

具有 SSL (https) 功能的軟體,該申請哪種憑證?

如果企業行號網站,需要 SSL 功能,可以申請一個網站憑證來安裝,就可以有 SSL (https) 的功能。網站憑證分為單網域SSL憑證、多網域SSL憑證、萬用網域SSL憑證,用以符合企業多網域名稱的需求。

但是如果是企業行號要賣給客戶的軟體,就要帶有 SSL 的功能(比如含有 apache 的 web system),而且不管客戶用 domain name 或 IP 安裝,都不能有憑證不合法的警告訊息,那麼請問,這種憑證是得申請哪一種憑證?感謝。

wiseguy提到:
不管客戶用 domain name 或 IP 安裝,都不能有憑證不合法的警告訊息


就我的了解
這點應該是不可行

憑證的用途之一就是驗明正身
而在網路世界中的身分之一
就是IP,Domain name

如果不同的IP.Domain name都能用同一張憑證
那那張憑證其實沒什麼用了

我以前的專案
是先架好網站
最後才申請domain name
然後才申請SSL憑證
其實憑證的安全性
除了在使用的過程以外
有很大部份是建立在「申請」的過程
不管是負責實體認證的機構或是負責技術層面的CA

另外
以前做過的案子
甲方開始時說「我們系統很重要,一定要SSL」
案子開發時
我用openssl自己發憑證自己用
等到案子真的要上了
甲方一聽到申請憑證要費用
馬上改口「系統先上,憑證之後再申請」
射門
花輪 iT邦大師 1 級 ‧ 2012-11-22 08:31:18 檢舉
我想,就算發了憑證,有效期是個問題,CRL 也是個問題,除非發出的憑證有效期很長!

我也覺得...不可行,尤其是要「賣」而且還不能出現錯誤訊息...
14
Blue Jacky
iT邦大師 1 級 ‧ 2012-11-22 05:00:41
最佳解答

這個問題問的有點"奇怪"
似乎有些違背 SSL 的初衷
但並非不能完成
只是作法(機制)複雜了點

考量『賣給客戶的軟體,就要帶有 SSL 的功能』
因此在『賣給客戶的軟體』安裝設計上
必須於正式安裝軟體前先利用 Open SSL <- 願意花錢買認證的話另當別論
安裝一部能自己發行憑證給自己的認證伺服器
然後再把"真正的軟體"裝上
而這一切完全都得"自動化"安裝完畢
並且把所有可能的安裝"障礙"排除 <- 這真有點難度
這樣就可達到所要求目的
只是...

下面範例可以參考看看
http://www.howtoforge.com/perfect-server-debian-squeeze-with-bind-and-dovecot-ispconfig-3-p4

看更多先前的回應...收起先前的回應...
wiseguy iT邦超人 1 級 ‧ 2012-11-22 09:03:01 檢舉

jacky1122提到:
於正式安裝軟體前先利用 Open SSL <- 願意花錢買認證的話另當別論
安裝一部能自己發行憑證給自己的認證伺服器
然後再把"真正的軟體"裝上
而這一切完全都得"自動化"安裝完畢

以上動作一點問題也沒有。這我在安裝步驟就已試過N遍,裝完一切 OK。

問題是出在《自己發行憑證給自己》這種憑證會有警告,所以憑證要向憑證大廠買,不能自己發給自己 (除非自己是 CA)。問題是似乎沒人在賣這種《萬用憑證》 ....

軟體在安裝時就必須先把憑證匯入至瀏覽器(或使用者的系統)
運作機制就像中國的 CNNIC 一樣 <- 不知道的話可參考文末
採預先"置入"就不會出現任何警告訊息

關於 CNNIC 憑證
http://blog.csdn.net/program\_think/article/details/5309699
http://www.newcenturynews.com/Article/china/201001/20100130103247.html
http://www.taoguba.com.cn/Article/262992/1

wiseguy iT邦超人 1 級 ‧ 2012-11-22 14:58:43 檢舉

先匯入憑證當然就不會有警告。
但 ... 買軟體的客戶,他的網站是要提供給一般大眾使用的。一般大眾幾乎不可能會那麼體貼地先去匯入憑證。

wiseguy提到:
一般大眾幾乎不可能會那麼體貼地先去匯入憑證

這裏的"憑證匯入"是指對瀏覽器
像一般防毒軟體在安裝時就可以作到"匯入"這點
只是閣下該作是"匯入憑證"
現行類似機制的像金融單位的 WebATM
很多就是採用這種模式

6
ted99tw
iT邦高手 1 級 ‧ 2012-11-21 17:26:52

只有10點?Wiseguy大的問題至少都要一百點起跳...失神

wiseguy iT邦超人 1 級 ‧ 2012-11-21 17:55:49 檢舉

真是的,沒 100 點可選 ...

talk9889 iT邦新手 4 級 ‧ 2012-12-19 13:14:17 檢舉

請教一下點數問題,個人我提問過問題有有附上點數,但是問題已經到期系統發信跟我說已到期,但是我一直收到信件說已過期,心裡在想是否沒有把點數給回應者才一直收到(是我想得這樣嗎?)

如果是這樣子的話,我該怎麼做?才能給回應的大大們點數!!!
介面的使用都找過了,一直找不到點,請指教.....

10
hon2006
iT邦大師 1 級 ‧ 2012-11-21 23:49:28
wiseguy iT邦超人 1 級 ‧ 2012-11-21 23:51:12 檢舉

謝謝你的回應。我不是要比價,是不知道該買哪一種憑證。

6
bizpro
iT邦大師 1 級 ‧ 2012-11-22 09:57:02

賣給客戶的系統, 用的是單一的FQDN, 那只需單網域SSL, 如果要加綠標, 就買Extended Validation(EV).

wiseguy iT邦超人 1 級 ‧ 2012-11-22 15:03:05 檢舉

一套軟體賣給不同的客戶,他們安裝的 Domain name 幾乎不可能會一樣。而且若內部使用的話,更有可能只使用 IP 而已,根本沒 FQDN。

bizpro iT邦大師 1 級 ‧ 2012-11-23 10:03:55 檢舉

當然是每個客戶不同的FQDN, 當然要個別申請. 這是SSL憑證的重點啊. 你如果要用IP, 就沒有申請各家"瀏覽器認證"的第三方CA簽發的SSL憑證的條件了.

6
tsengleoo
iT邦研究生 1 級 ‧ 2012-11-23 21:02:02

http://www.twca.com.tw/Portal/product/ssl.html
可能SAN類型的憑證會比較符合你的需求,可參考上述的連結
若要自己發行憑證則可以參考自主管理型SSL憑證
要避免出現錯誤訊息,可以將憑證與軟體置放於同一個安裝檔
後續則依照需求 定期/不定期 並 自動/手動 更新憑證

我要發表回答

立即登入回答