SSL 证书操作指南
上一节第 2 章. 证书管理下一节

2.4. 将 CA 根证书安装为受信任的根证书

首先,从证书中剥离所有文本,仅保留 -CERTIFICATE- 部分

openssl x509 -in cacert.pem -out cacert.crt

将此文件放在您的网站上,地址为 http://mysite.com/ssl/cacert.crt。您的 Web 服务器应该为 .crt 文件配置 MIME 类型条目。您的证书已准备好被任何浏览器下载和保存。

在网站上发布根 CA 证书非常重要,因为用户不太可能已经在浏览器中加载了它。请注意,有人可能会伪造您的网站并伪造您的根 CA 证书。如果您可以为用户提供多种获取证书的方式,黑客就不太可能破坏所有内容。

微软提出了 Windows 更新功能,该功能会将批准的根证书推送到 Internet Explorer 浏览器。您可以联系微软,将您的根证书添加到他们的数据库中,甚至可能添加到未来的版本中。

2.4.1. 在 Netscape/Mozilla 中

使用 Netscape 从 Web 服务器或文件系统下载证书。Netscape 会自动识别出这是一个根证书,并会建议您将其添加到其存储中。按照向导安装证书。在向导结束时,您必须指定您信任此证书用于哪种类型的应用程序:网站安全、电子邮件签名或代码签名。

2.4.2. 在 Galeon 中

Galeon 的工作方式类似于 Mozilla,因为它使用相同的 HTML 渲染引擎。但是,Galeon 中没有包含证书管理工具。

2.4.3. 在 Opera 中

待补充

2.4.4. 在 Internet Explorer 中

使用您的浏览器,指向证书的地址并将文件保存到您的磁盘上。双击该文件,证书安装向导将启动。由于该证书是自签名证书,Internet Explorer 将自动将其安装到受信任的根证书颁发机构列表中。从现在开始,Internet Explorer 不会再发出警告,并且任何使用此根 CA 证书签名的证书也将被信任。

您也可以从 Internet Explorer 中打开它,这将显示证书。单击“安装证书”按钮以启动证书安装向导。

上一节主页下一节
创建非根证书颁发机构证书。上一级证书管理