网络安全
自签名证书
别称: 自发证书
定义
由自身私钥对其所包含的公钥进行签名的数字证书,不涉及任何外部证书颁发机构。
自签名证书的主体和签发者是同一实体,因此信任该证书的任何人实际上是在隐式地信任其密钥对。它们适用于开发环境、内部测试系统、实验室,以及任何 PKI 体系顶端的根证书。然而在公网上,浏览器和操作系统不会信任自签名证书,并会显示醒目的警告,因为缺乏可以外部校验的信任链。它们在吊销与生命周期管理方面也有局限。生产环境中更好的选择包括来自公共 CA 的证书、企业内部 PKI 或通过 ACME 颁发的短期证书。
示例
- 开发者使用 mkcert 或 openssl 生成的证书运行本地 HTTPS 服务器。
- 内部 PKI 的根证书,本质上就是自签名证书。
相关术语
X.509 证书
数字证书的标准结构,通过受信任 CA 的签名将公钥与某一身份绑定在一起。
证书颁发机构(CA)
可信第三方实体,负责颁发并签名数字证书,将公钥与已核验的域名或机构身份绑定在一起。
公钥基础设施(PKI)
由政策、软件、硬件和可信机构组成的体系,负责签发、分发、验证和吊销数字证书,将身份与公钥绑定。
TLS (Transport Layer Security)
TLS (Transport Layer Security) — definition coming soon.
HTTPS
HTTPS — definition coming soon.
数字签名
一种公钥密码学机制,用于证明消息或文档的真实性、完整性以及不可否认性。