正规的做法是:到国际知名的证书颁发机构,如GlobalSign申请一本服务器证书,比如百度的首页,点击小锁的图标,可以看到百度是通过GlobalSign认证颁发的服务器证书:
我们用的操作系统(windows, linux, unix ,android, ios等)都预置了很多信任的根证书,比如我的windows中就包含GlobalSign的根证书,那么浏览器访问服务器比如www.baidu.com时,
SSL协议握手时服务器就会把它的服务器证书发给用户浏览器,而这本服务器证书又是比如VeriSign颁发的,自然就验证通过了。
① 根私钥ca.key和根证书 ca.crt ,类似于GlobalSign颁发者
②server.key ;用这个key生成普通证书csr,秘钥
③用ca.key 和ca.crt 对这个普通证书,签名生成server.pem,再转格式为 server.crt 类似于支付宝的那个小锁子,数字证书。这个证书需要预先安装在客户端,例如浏览器中。
④sever.cer是server.crt的另一种格式。