自簽名證書是由創(chuàng)建它的人簽署的證書，而不是由受信任的證書機(jī)構(gòu)簽發(fā)的證書。自簽名證書能夠達(dá)到與由受信任的機(jī)構(gòu)所簽署的價(jià)值1500美元的證書相同的加密等級(jí)，但它有兩個(gè)主要的弊端：訪問者的連接可能會(huì)被劫持，從而攻擊者便能查看所有發(fā)送的數(shù)據(jù)（因此違背了加密連接的目的），以及證書不能向受信任的證書那樣進(jìn)行撤銷。接下來(lái)，我們將介紹何時(shí)應(yīng)當(dāng)使用自簽名證書，何時(shí)又不應(yīng)當(dāng)使用它，然后再分享一些有關(guān)如何為Microsoft IIS、Apache和Java Keytool等常見平臺(tái)生成自簽名證書的教程。

何時(shí)應(yīng)當(dāng)使用自簽名證書？

自簽名證書或由私人CA簽署的證書不適合一般大眾使用。

證書有兩個(gè)基本目的：分發(fā)公有密鑰和驗(yàn)證服務(wù)器的身份，因此訪問者便能知道他們并沒有把信息發(fā)送給錯(cuò)誤的人。只有當(dāng)證書是由受信任的第三方所簽署的情形下，服務(wù)器的身份才能得到恰當(dāng)驗(yàn)證，因?yàn)槿魏喂粽叨伎梢詣?chuàng)建自簽名證書并發(fā)起中間人攻擊。如果用戶只是接收了自簽名證書，那么攻擊者就可以監(jiān)聽所有流量，或者試圖建立一個(gè)模擬服務(wù)器來(lái)從用戶那里獲取額外的信息。正因?yàn)槿绱耍銕缀跤肋h(yuǎn)不希望在服務(wù)器上使用自簽名證書，因?yàn)檫@些服務(wù)器能夠允許匿名訪問者連接到你的網(wǎng)站。在這些案例中，你真的需要花費(fèi)一些金錢來(lái)購(gòu)買一個(gè)受信任的證書（市場(chǎng)上大量便宜的SSL證書，甚至還有一些免費(fèi)的選項(xiàng)）。然而，自簽名證書也有它們自己的一席之地：

• 企業(yè)內(nèi)部網(wǎng)。當(dāng)客戶只需要通過本地企業(yè)內(nèi)部網(wǎng)絡(luò)時(shí)，中間人攻擊幾乎是完全沒有機(jī)會(huì)的。


• 開發(fā)服務(wù)器。當(dāng)你只是在開發(fā)或測(cè)試應(yīng)用程序時(shí)，花費(fèi)額外的金錢去購(gòu)買受信任的證書是完全沒有必要的。


• 訪問量很小的個(gè)人站點(diǎn)。如果你有一個(gè)小型個(gè)人站點(diǎn)，而該站點(diǎn)傳輸?shù)氖遣恢匾男畔?，那么攻擊者很少?huì)有動(dòng)機(jī)去攻擊這些連接。

只要記住，當(dāng)連接到使用了自簽名證書的服務(wù)器時(shí)，除非服務(wù)器已經(jīng)被永久地存儲(chǔ)在了它們的證書商店中，訪問者就會(huì)在其瀏覽器中看到一條警告信息。

一個(gè)更好的選擇：私有CA

如果你想要為一些適合的情形使用自簽名證書，那么創(chuàng)建屬于你自己的私有CA證書會(huì)更好一些。這是一個(gè)更加安全的選項(xiàng)，因?yàn)橹恍枰嘧鲆恍┕ぷ?，它便能夠避免出現(xiàn)以上那樣的警告信息。

IIS中的自簽名證書

相比之前的幾個(gè)IIS版本，在IIS 7版本中創(chuàng)建自簽名證書更簡(jiǎn)單。IIS現(xiàn)在提供了一個(gè)簡(jiǎn)單的接口來(lái)生成自簽名證書。但有一個(gè)缺點(diǎn)是：證書的常用名總是服務(wù)器的名稱而不是站點(diǎn)的名稱。為了更改常用名，你將需要執(zhí)行一些額外步驟。

Apache自簽名證書

創(chuàng)建自簽名證書來(lái)保護(hù)Apache站點(diǎn)要求使用OpenSSL。這能讓你全盤掌控證書的創(chuàng)建方式。

Java自簽名證書

在所有平臺(tái)中，利用Java Keytool創(chuàng)建自簽名證書（通常）是最簡(jiǎn)單的，盡管它不要求你獲取像使用OpenSSL那么多的完全控制。