证书颁发机构(Certificate Authority, CA )是负责签发和管理数字证书的权威机构,分为公共信任的 CA 和私有/内部 CA。以下是常见的公共信任的 CA 分类及代表机构:
1. 国际知名公共 CA(浏览器/操作系统默认信任)
这些机构的根证书预装在主流操作系统(Windows/macOS/Linux)和浏览器中,适合对外公开的服务。
| CA 名称 | 特点 |
|---|---|
| Let's Encrypt | - 免费、自动化 - 有效期 90 天,需自动续期 - 适合个人和小型项目 |
| DigiCert | - 商业 CA,信任度高 - 支持通配符、多域名、EV 证书 - 适合企业级应用 |
| Sectigo (原 Comodo) | - 高性价比,支持多种证书类型 - 广泛用于中小企业和电商 |
| GlobalSign | - 企业级 CA,安全合规性强 - 常用于金融、医疗等敏感行业 |
| GoDaddy | - 域名注册商 + CA 服务 - 证书价格较低,适合与域名服务绑定使用 |
| Amazon AWS ACM | - 免费证书(仅限 AWS 服务内使用) - 自动签发和管理 |
2. 国内公共信任的 CA
部分国内 CA 的根证书也被主流系统信任,但需注意兼容性:
| CA 名称 | 特点 |
|---|---|
| CFCA(中国金融认证中心) | - 金融行业权威 CA - 符合国内监管要求,支持国密算法 |
| WoSign(沃通) | - 价格较低,支持多域名 - 曾因合规问题被部分浏览器短暂不信任(已恢复) |
| vTrus(数安时代) | - 符合国密标准,支持 SM2 算法 - 适用于政府、国企项目 |
3. 私有/内部 CA
用于企业或组织内部系统(如内网、测试环境),需手动将根证书导入客户端信任链:
- Microsoft AD CS(Windows 域环境集成)
- OpenSSL 自建 CA(手动管理,适合技术团队)
- 小型工具生成 (如
mkcert,快速生成本地可信证书)
4. 特殊类型 CA
| 类型 | 说明 |
|---|---|
| EV(扩展验证)证书 | 需严格验证企业身份,浏览器地址栏显示公司名称(如银行、大型企业使用)。 |
| OV(组织验证)证书 | 验证企业信息,安全性高于 DV 证书。 |
| DV(域名验证)证书 | 仅验证域名所有权,适合个人博客和小型网站(Let's Encrypt 默认签发 DV 证书)。 |
如何选择 CA?
- 公开服务 :
- 个人/非盈利项目 → Let's Encrypt(免费)。
- 企业对外服务 → DigiCert/Sectigo/GlobalSign(高信任度)。
- 国内合规场景 → CFCA/vTrus(符合国密标准)。
- 内网/测试环境 → 自建 CA 或
mkcert。 - 通配符证书 → 选择支持通配符的 CA(如 Let's Encrypt、DigiCert)。
注意事项
- 证书兼容性:某些老旧系统可能不信任新型 CA(如 Let's Encrypt 早期兼容性问题)。
- 安全合规:金融、医疗等行业需选择符合行业标准的 CA(如 CFCA)。
- 自动续期:使用 Let's Encrypt 时需配置自动化工具(如 Certbot)。