使用MakeCert创建有效的生产客户端证书以验证WCF

我购买了一个真正的SSL证书来验证我的计算机和我托管一些WCF服务的域

如何使用MakeCert创建由此真实证书签名的客户端证书，以便在客户端计算机上使用，以验证它们是否连接到正确的（我的）服务器

客户端证书将用于验证在我的服务器上使用WCF服务的情况

一般来说，你不能。每个证书都是为特定目的（密钥使用）颁发的。在您的情况下，最有可能是SSL身份验证。此类证书不能用于签署其他证书（技术上可以，但在验证期间不会接受此类签名）。支持CA的证书需要花费大量资金，您需要满足某些组织要求

您不需要仅仅为了验证服务器而创建客户端证书-服务器的证书用于此目的。客户端证书用于告诉服务器客户端是谁，即用于服务器上的客户端身份验证。对于此类证书，您不需要使用服务器的证书对其进行签名—您可以创建自签名客户端证书，也可以创建一个自签名证书，该证书将充当CA并使其在服务器上受信任。然后使用此自签名证书颁发客户端证书

---

完成以上所有工作需要了解PKI和X.509证书的工作原理（顺便说一句，它们不是“SSL证书”，也与SSL无关）

除了你最后的附加说明外，一切都是正确的。“SSL证书”是商业CA使用的一个通用术语，用于描述X.509证书，该证书具有用于服务器身份验证的扩展密钥用法。因此，所有SSL证书都是X.509证书，但并非所有X.509证书都是SSL证书。更多信息请点击这里：@oradennison这已经被讨论过很多次了。严格地说，X.509证书并没有被命名为“SSL证书”，对程序员进行培训并让他们使用正确的术语是个好主意。也就是说，我澄清的目的是让人们理解他们是如何被正确命名的。我们是安全专家，不是营销人员，所以我们必须使用正确的术语，而不是营销术语。@EugeneMayevski'EldoSCorp要确保：这些步骤对生产是否正确：1。使用makecert创建CA，2。在web服务器3上安装此CA。使用此CA创建客户端证书。@oblomov86取决于您的目标。如果不知道您想要实现什么目标，我无法回答。@EugeneMayevski'EldoSCorp我需要在生产中使用客户端证书。我可以使用CA创建它们，CA也是我创建的。我想，如果CA安装在web服务器上，客户机将能够毫无问题地使用我的客户机证书。