我需要什么SSL证书？

我正在开发软件，该软件将使用clickonce（在网站foo.com上）进行部署，然后使用WCF和加密传输连接到我的服务器

因此，我需要一个SSL证书，它将：

• 确定我的foo.com网站确实是我的网站
• 使用clickonce将我部署的exe标识为正版
• 确定我的应用程序服务器实际上是我的应用程序服务器

我还希望我的SSL证书由公众已知的权威机构签名（即firefox或windows不会要求用户先安装权威机构的证书！）

您会购买什么SSL证书

---

我浏览过Verisign网站，“Secure Site EV”证书的费用为每年1150欧元（“Pro”版本似乎仅适用于与旧浏览器的兼容性）

因此，对于网站/应用程序服务器，您需要SSL证书。您不需要EV证书。为此，我使用了QuickSL中的证书，因为与其他一些廉价的证书提供商不同，它们不需要在服务器上安装中间证书——这对我来说是前所未有的

---

用于签署完全不同类型的证书的应用程序（在某种程度上，它仍然是一个X509证书，但用于网站的证书不能用于签署应用程序）。您需要来自或等的authenticode签名证书。这些证书比普通的旧SSL证书要昂贵得多，需要您是一家注册公司并制作这些文档。

听起来您在寻找两种不同类型的证书：

1-SSL证书-用于验证您的网站/应用程序服务器

2-代码签名证书-用于您交付的exe的完整性/身份验证

通常，这是两个不同的证书，具有两个不同的证书配置文件。至少，您需要一个具有两种不同密钥用法或扩展密钥用法的证书

没有具体顺序的一些想法：

• 检查您的目标浏览器，每个浏览器都应该有一组预配置的根证书-这些是最广泛认可的公共证书源。我可能会检查Firefox和IE。我所知道的大牌证书供应商有：Version、GeoTrust、RSA、Thawte和Trust。但也有戈达迪和其他很多人。在交付的浏览器中作为受信任的根证书提供的任何内容都将允许您连接到您的用户，而无需额外的greif

• 我建议谷歌搜索“代码签名证书”和“SSL证书”

• 您如何配置您的网站将决定您的网站是否经过验证或验证服务器是否经过验证。如果证书存储在应用服务器上，则您的用户将一直获得SSL加密。但许多网站将SSL证书放得更远一点，就像放在防火墙上一样，然后在证书后面放置一组应用程序服务器。我不认为这有什么安全缺陷，只要仔细配置网络。对于外部用户来说，这两种配置看起来是一样的——他们将获得浏览器上的锁和一个证书，告诉他们www.foo.com正在提供它的凭据

我看到SSL证书有很多优惠： -戈达迪-12.99美元 -Register.com-$14.99

但它们不一定是代码签名认证。例如，GoDaddy的SSL证书是12.99美元，而他们的SSL证书是199.99美元！这是许多证书供应商商业模式的一部分——用便宜的SSL证书吸引您，并让您为代码签名付费。有一种情况是，代码签名证书的责任相对较高。而且。。。他们不得不以某种方式补贴廉价的SSL证书

从理论上讲，应该可以创建一个同时执行代码签名和SSL的证书，但我不确定您是否希望这样做。如果发生了什么事情，最好能够将这两个功能隔离开来。此外，我很确定你必须打电话给证书供应商，询问他们是否这样做，如果他们不这样做，让他们这样做可能会抬高价格

就供应商而言，需要考虑的事项包括：

• 技术几乎是一样的。现在，我的目标是最小128位密钥，我可能会将其增加到256位，但我有点偏执
• 除了浏览器的可接受性，支付更多费用的唯一原因是姓名识别。在那些偏执的安全迷中，我认为RSA、Thawte、Verisign和GeoTrust会有很好的声誉。可能也是。这可能只在您处理以安全为中心的产品时才重要。我想你的普通用户不会这么清楚
• 从安全极客的角度来看，您的安全性只与根CA（证书颁发机构）的安全性一样。对于真正的偏执狂来说，要做的事情是深入挖掘公司如何托管其根和发行CA的背景资料，它们是如何进行物理安全的？网络安全？人员访问控制？还有-他们有公共CRL（证书撤销列表）吗？如何撤销证书？他们是否提供OCSP（在线证书状态协议）？他们如何检查证书申请者以确保他们将正确的证书提供给了正确的人。。。如果你提供的东西必须是高度安全的，那么所有这些东西都很重要。诸如医疗记录、财务管理应用程序、税务信息等应该受到高度保护。大多数网络应用的风险并不是很高，可能不需要如此严格的审查

在最后一颗子弹上——如果你深入研究世界的真实信号——非常昂贵的证书——你可能会看到它的价值。他们拥有庞大的基础设施，非常重视CA的安全性。我对超便宜的东西不太确定