我可以建立自己的扩展验证SSL证书吗？

我可以通过自己的CA创建并以这种方式生成自签名的SSL证书。但是，如何使浏览器将证书显示为“扩展验证SSL证书”？

我可以自己创建一个，并教我的浏览器将其显示为EV吗？

ssl-certificate https certificate

— 尼尔斯·巴杰斯（Niels Basjes）
source

您可以看看以下内容：blog.sidstamm.com/2009/04/roll-your-own-ev.html

— Nick

Answers:

EV SSL证书的工作方式是将特定于权威的OID粘贴在证书的证书策略扩展字段中（否则为标准X.509证书）。

正如EK所说，每个授权机构的参考OID都是作为浏览器证书根存储的一部分提供的。用户界面不允许您添加新的CA并说“这是具有EV功能的CA，UID为abcdef”。

我想可能可以从源代码构建一个开放源代码的浏览器，将您自己的CA证书及其EV oid添加到根存储中，但是这样做并没有真正起到很大作用。该浏览器将不再符合CA / Browser论坛的EV准则（该准则限制了EV支持的权限）。

Wikipedia在此处提供有关EV证书的更多信息：

— 詹姆斯·F
source

不，你不能。这些的受信任根在浏览器中是固定的

— 詹姆斯·瑞安
source

这只是意味着您必须修改浏览器。他特别询问是否可以“教我的浏览器将其显示为EV”。如果是FireFox或其他来源可用的浏览器，那么他可以。

— 大卫·史瓦兹

尽管他确实说过“我可以教我的浏览器”，但只有您看到自己的EV证书完全没有意义。因此，我的回答的目的是实用而不是学究。如果您真的想挑剔，我的答案仍然是正确的，因为从源代码编译一个全新的浏览器并不会教您现有的浏览器。：P

— JamesRyan 2011年

我不同意这是没有意义的。例如，在一个组织中，最好将其放置在每个浏览器上，以识别所有内部站点。

— 一些

为什么要为此需要EV证书？请记住，这并不涵盖所有证书，您仍然可以为非EV证书添加受信任的根。

— JamesRyan 2014年

他们是，不是。您始终可以从受信任的根证书颁发机构存储区导入和删除证书。作为组织的域管理员，我可以通过策略将根证书推送给托管用户，以便他们的浏览器信任我为内部服务器生成的证书。我也想知道如何对内部证书进行签名，以便我的用户在其证书中看到“ EV”级别的验证。希望有人可以告诉我要做到这一点。

— 艾瑞克（Erik）