版上各位前辈 大大好,
小弟最近在处理一个case，
大意是在Client-side及Server-side的CE Router(MPLS)之前，
会放一台设备可以做SSL Proxy的设定。
但我对凭证很不熟，读了几次对凭证观念还是没建立起来，
所以想请各位大大帮忙，谢谢
0.
如何确认一个凭证是signed by CA or self-signed呢?
1.
CA凭证(又称root CA对吧?): 这个是由具有公信力的第三方所颁发的凭证，
例如VerSign..等，但我不懂的是，这个凭证我们放到电脑了可以做什么呢?
2.
像我们浏览一些网页会跳出此凭证不受到信任，而从浏览器可以导出该网页的凭证
加入到我们电脑里面，这个凭证有些是该设备默认的，如果我们将它的凭证加入至电脑里
往后电脑就不会再出现不受到信任了，对吧?
问题回到1，要如何确认它的凭证种类呢? 通常self-signed是比较不安全的凭证吗?
3.
我看之前学长POC的设备里面，他们的凭证common name是一个 *.domain.com所发起的，
它跟我说这个是商业凭证，这个又更不懂了，像这个凭证是IT将它丢到AD派发给Server
用的吗? (因为我看他们很多Server的凭证都是显示跟 *.domain.com 一样的凭证，
只是* 这个hostname不一样而已，所以应该是整个domain只信任这个proxy 凭证?
问题很多很复杂... 麻烦各位了
谢谢

call 你的代理商或者原厂

*.domain.com这是wildcard 凭证你可以去申请一个startssl来玩玩，免费的

这里要讨论这个很杂 书局待半天应该就差不多了了然后第三点楼上回了.....

root ca 对一般电脑的使用者是没用的，对一般使用者有用的部分是经过 root ca 签名认证过后发出的那张凭证自签跟公正第三方(如VerSign)发的凭证，对一般使用者唯一的差别就是"浏览器会不会跳出来此凭证不受到信任的讯息"一般的内部系统需要使用ssl 凭证的部分，都是自己DIY一个提供给外部使用者的则是使用公正第三方签名认证后的凭证，表示这个网站的凭证是经过公正第三方发行的，比较不会有假冒凭证的问题。