对于安装在本机上的根证书的进一步了解

以前写过一篇文件，描述的是为什么会出现HTTPS与根证书这种东西，那篇文章的描述还是很详细的，地址是http://blog.csdn.net/sundacheng1989/article/details/25540601

 

最近在做一个WCF项目的时候，又遇到了根证书问题，而且在测试阶段还需要使用自认证的证书，这次就又继续研究了一下装在本机电脑上的根证书。首先要纠正一下我以前的错误概念，以前一直认为安装在本机上的是浏览器与服务器交互的时候，用到的那个证书。其实这个理解是错误的，安装在本机上的，叫做根证书，确切的说，是一个可信任的证书颁发机构，或者说这个根证书是一个可信任的证书颁发机构的唯一身份标识。

 

如果我们打开IE浏览器的证书列表查看，会看到在Trusted Root Certification Authorities列表中，看到很多机构的信息。这些都是可信任的证书颁发机构。在这里，我们可以对根证书，或者说对这些证书机构进行导出，可以看到导出的文件格式是cer格式，这就说明以后我们在安装这类程序的时候，安装的是可信任机构，或者是安装的是可信任机构颁发的证书凭证（其实也包括不可信任机构颁发的证书凭证）。

换句话说，一个认证机构在一个客户机器上，显示方式就是一个证书，或者说一个机构。可以看到，认证机构的代表就是cer，也就是说，认证机构跟根证书是一回事。

但是这里又出现了一个Personal的证书，这个又是什么呢？这个是具体的公司的识别标志。这里来说一下这个层次关系。认证机构比如说Global Sign，会颁发证书给B公司，那么你现在显示的Personal列表里边就包括这个B公司的证书凭证。注意，这个并不是每次Https请求中用于加密的那个，每次服务器都会发一个新的证书，浏览器这端根据B公司的证书凭证，来核实这次发过来的加密证书是否正确。

这里列举一个特殊的情况，还是拿12306举例子。因为客户机上没有安装任何铁道部的证书信息，访问页面的时候，服务器发送过来一个临时证书，浏览器找不到这个公司的证书凭证，所以Chrome或者其他浏览器都会报出Https不安全警告。这里再介绍另一个例子。比如说B公司有了证书凭证，也在浏览器上安装了，但是这个证书是一个野鸡公司颁发的，也就是说，根证书机构没有安装在本机上，所以，也会抛出不安全警告。

 

自认证证书就是这个例子。一个公司，自己给自己颁发了一个证书，在Personal列表中有了这个证书凭证，查看其根证书机构SUNROBIN,还是自己这个公司，根本不是公认的机构，所以浏览器就会觉得，这个证书凭证不可以信任。但是自认证证书在开发Https网站的时候，用于测试目的还是很方便的，省的去花钱搞真的证书。

 

上一个项目是一个SharePoint的项目，SharePoint中相关JS发起的向其他网站或者WCF服务的请求都是必须要Https方式的。用例子来说，如果SharePoint的js脚本中向WCF获取数据，SharePoint中必须是https请求。所以相应的WCF就必须提供https服务。

 

我们在开发阶段怎么做？我们可以创建一个自认证的证书，然后安装到本机上，创建自认证证书的第三方工具很多，可以选其一。创建完成后，这样，浏览器就有了相关的证书凭证。但是这些操作仅仅是从客户端的角度，安装到了证书列表。

 

我们在使用自认证证书创建工具创建的时候，生成的东西分为两部分，一部分需要安装在浏览器相关的地方，也就是说跟客户端相关。另一部分，是WCF服务提供HTTPS服务的时候，需要借助这一部分对http回复请求进行加密。我们在使用WCF开启服务的时候，也要使用证书对消息进行加密。

 

感觉自认证的证书跟机构认证的在行为方式上没有太多区别，只是你安装到浏览器的时候，会包含认证机构信息，浏览器会查到这个机构，然后浏览器厂商会有自己的标准判断这个机构是否可信任。比如说自认证的，以及铁道部的根证书（机构），浏览器会认为不可信任，给你红色警告。

 

 

如何创建自认证的证书https://blog.didierstevens.com/2008/12/30/howto-make-your-own-cert-with-openssl/

 

自认证证书危险的方面https://www.globalsign.com/en/ssl-information-center/dangers-self-signed-certificates/