公有和私有信任证书是SSL/TLS 证书的类型，其格式适合不同的用例。

    公共信任 SSL/TLS 证书用于面向公众的网站项目（例如网站、登录页面、微型网站等），是避免浏览器警告的必需品。公共证书可用于保护服务器到客户端或服务器到服务器的通信，并且只能由受信任的证书颁发机构 (CA) 颁发。

    信任是公共 SSL/TLS 证书实用性的关键。在公共信任模型中，CA 将其根证书锚定到各种浏览器（Safari、Chrome、Microsoft、Mozilla 和 Firefox）以及大多数情况下的操作系统供应商（Windows OSX、iOS 和 Android）中的信任层次链。这些根证书本质上象征着 CA 将根据行业标准组织 CA/浏览器论坛制定的政策管理和颁发证书。该政策由将根证书分发给使用其平台的人（用户）的浏览器和供应商管理。这向其用户表明 SSL/TLS 证书是由受信任的 CA 颁发给域所有者的，并且交易的数据将被加密以提供交易安全性。文档或代码签名等特殊证书需要获得 Adobe 或 Oracle 等软件供应商的信任。

    公共信任系统中根 CA 信任的 CA 颁发的证书必须遵守浏览器和/或软件供应商制定的政策。软件供应商可能会发布自己的政策，也可能要求 CA 遵守 CA/浏览器论坛的要求。这些政策会不断监控是否存在安全漏洞，并不断更新，以保持 SSL/TLS 生态系统的强大，并防止对用户社区造成伤害。在信任的 CA 的帮助下，证书持有者可以遵守新出现的政策变化，避免服务中断。

SSL/TLS 证书的私人信任模型

    私有证书用于保护任何内部网络，可由受信任的 CA 或任何运行自己的内部 PKI 的组织颁发。它们只能保护 IP 地址和未注册域的服务器到服务器通信 - 换句话说，只有特定用户组才能看到的 URL。

    私有信任模型不需要 CA 将其根证书锚定到浏览器或软件供应商的信任层次结构中，因此不受这些机构的信任。CA 可以针对私有证书建立和管理自己的证书策略，从而为内部 IT 环境提供更大的灵活性。

    私有信任模型通常与企业 CA 一起使用。在这种情况下，企业创建了自己的私有专用 CA，可用于为员工、合作伙伴、企业服务器等提供信任。然后，企业可以颁发供内部使用的私有证书并制定自己的准则。

    私人信任 SSL/TLS 证书的优势在于，它为公共信任模型无法接受的内部 IT 环境提供了灵活性。私人证书可以 1) 用于保护未注册的域名，2) 具有更长的有效期（最长 39 个月），3) 避免公共政策更新导致的频繁更改。除特定例外情况外，私人专用 CA 的安全级别与公共信任 CA 相同。这包括遵守相同的验证方法并接受年度审核，以确保它们符合为私人信任模型制定的政策。

    总而言之，公共 SSL/TLS 证书适用于可以公开查看的数字项目——任何上网的人或其他用户社区都可以查看。而私人信任则为内部 IT 环境提供安全服务，让证书订户有更多时间将他们的系统发展到公众信任所需的更严格要求。