证书颁发机构(CA)

证书颁发机构（CA机构），CA机构是具备颁发（签署）其他证书或其他 CA 证书（中间 CA 证书），在公共密钥基础结构 (PKI) 中，可通过分层信任链来验证证书，此结构最顶级的证书就是CA 根证书。

通常我们在goovell代理的大型CA机构购买证书，就是因为他们具有CA资质，从某种意义上CA机构又是一个可信度高的权威机构，类似金融界的评级机构，他们给风险提供保险，所以购买商业证书并不仅因为他们有根证书，大多时候是证书商提供一个巨额的保费。所以大多数商业 CA机构办法的证书会默认支持大多数 Web 浏览器和移动平台，也就是类似GeoTrust,Comodo,Symantec颁发的证书不会看到不安全提示。如果您像12306那样具有权威，也可以如本文一样签发私有CA，再通过引导客户安装颁发的证书来建立信任关系，以至于客户可能就看不到上图的提醒。

自签名证书

一般自签名证书不能用来进行身份认证，如果一个服务端使用自签名证书，客户端两种方法，一种就是无条件信任该证书，另外一种则需要将自签名证书的公钥和私钥加入受信任列表。但这样一来就增加了服务器的私钥泄露风险。

自己颁发的证书，如果没有 CA 可以证明其有效性，其实没什么太大用处，因为大多数移动平台不支持使用自签名证书，因此不支持使用。

自签名 CA

自己作为签发机构(CA)，然后由自己进行颁发CA。它既是证书也是 CA。因为它是树中的最顶层证书，因此也是根 CA，因为存在安全隐患的原因，不推荐在正式环境中启用自签名CA，但是，在开发和测试环境则可以部署此证书，也适用于内网服务器，因为这些证书自己颁发自己安装，轻松又方便。

综上总结，如果只是用于测试研究，或者内网安全加密，完全可以使用自签名CA部署在内网服务器中！或者在培训内网用户知情的前提下使用自签名CA非常的便捷和节省成本，好比12306那样操作。