SSL证书

SSL证书是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上，也称为SSL服务器证书。

SSL 证书就是遵守 SSL协议，由受信任的数字证书颁发机构CA(如GlobalSign，wosign)，在验证服务器身份后颁发，具有服务器身份验证和数据传输加密功能。

SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变，即数据的完整性，现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中，因此，仅需安装服务器证书就可以激活该功能了)，即通过它可以激活SSL协议，实现数据信息在客户端和服务器之间的加密传输，可以防止数据信息的泄露。保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。

基本信息

• 中文名称

  SSL证书

• 外文名称

  SSL certificate

 

• 类型

  数字证书

• 功能

  SSL加密和服务器认证

目录

1证书作用

2证书分类

3工作原理

4如何申请

5证书应用

6证书内容

折叠编辑本段证书作用

折叠1.1加密传输数据

用户通过http协议访问网站时，浏览器和服务器之间是明文传输，这就意味着用户填写的密码、帐号、交易记录等机密信息都是明文，随时可能被泄露、窃取、篡改，被黑客加以利用。安装SSL证书后，使用Https协议加密访问网站，实现数据加密传输，防止传输数据被泄露或篡改，保护数据机密性和完整性。

折叠1.2认证服务器身份

钓鱼欺诈网站泛滥，用户如何识别网站是钓鱼网站还是安全网站？网站部署全球信任的SSL证书后，浏览器内置安全机制，实时查验证书状态，通过浏览器显示安全锁、绿色地址栏、单位名称、证书信息等方式，向用户展示网站身份认证信息，让用户轻松识别网站真实身份，防止钓鱼网站仿冒。

折叠编辑本段证书分类

SSL证书依据功能和品牌不同分类有所不同，但SSL证书作为国际通用的产品，最为重要的便是产品兼容性（即根证书预埋技术），全球信任的SSL证书应该支持大部分主流浏览器和操作系统。

SSL证书按验证级别不同，一般分成4级SSL证书产品。相同点：所有SSL证书都具备SSL加密传输功能，都可通过https访问网站，在浏览器上显示安全锁标志；不同点：验证主体、验证范围、验证材料和证书显示内容各不相同。

折叠2.1扩展验证型EVSSL证书

主要特点：采用全球统一严格身份验证标准，验证网站所属组织机构的真实身份，浏览器显示绿色地址栏，状态栏循环显示所属单位名称及颁发机构名称。绿色地址栏是验证网站身份及安全性的最简便可靠的方式。

折叠2.2组织验证型OVSSL证书

主要特点：验证网站所属组织机构的真实身份，证书内显示所属单位名称。

折叠2.3个人验证型IVSSL证书

主要特点：验证网站所属个人的真实身份，证书内显示所属个人名称。

折叠2.4域名验证型DVSSL证书

主要特点：仅验证网站域名所有权。

折叠编辑本段工作原理

SSL技术通过加密信息和提供鉴权，保护您的网站安全。在客户端与服务器间传输的数据是通过使用对称算法（如 DES 或 RC4）进行加密的，使用服务器的SSL证书中的公用密钥（通常为 RSA）用于密钥交换和数字签名。一份 SSL 证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息，私用密钥用于解译加密的信息。浏览器指向一个安全域时，SSL 同步确认服务器和客户端，并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证消息的隐私性和完整性的安全会话。

SSL的工作原理[3]中包含如下三个协议。

握手协议（Handshake protocol）

记录协议（Record protocol）

警报协议（Alert protocol）

折叠3.1握手协议

握手协议是客户机和服务器用SSL连接通信时使用的第一个子协议，握手协议包括客户机与服务器之间的一系列消息。SSL中最复杂的协议就是握手协议。该协议允许服务器和客户机相互验证，协商加密和MAC算法以及保密密钥，用来保护在SSL记录中发送的数据。握手协议是在应用程序的数据传输之前使用的。

折叠3.2记录协议

记录协议在客户机和服务器握手成功后使用，即客户机和服务器鉴别对方和确定安全信息交换使用的算法后，进入SSL记录协议，记录协议向SSL连接提供两个服务：

（1）保密性：使用握手协议定义的秘密密钥实现

（2）完整性：握手协议定义了MAC，用于保证消息完整性

折叠3.3警报协议

客户机和服务器发现错误时，向对方发送一个警报消息。如果是致命错误，则算法立即关闭SSL连接，双方还会先删除相关的会话号，秘密和密钥。每个警报消息共2个字节，第1个字节表示错误类型，如果是警报，则值为1，如果是致命错误，则值为2；第2个字节制定实际错误类型。

折叠编辑本段如何申请

SSL证书提供商设置的申请流程各不相同，但作为国际通用产品，申请SSL证书必然需要经过以下3个步骤：

折叠4.1提交CSR文件

CSR就是Certificate SecureRequest（证书请求文件）。这个文件是由申请人制作，在制作的同时，系统会产生2个密钥，一个是公钥就是这个CSR文件，另外一个是私钥，存放在服务器上。要制作CSR文件，申请人可以参考WEB SERVER的文档，一般APACHE等，使用OPENSSL命令行来生成KEY+CSR2个文件，Tomcat，JBoss，Resin等使用KEYTOOL来生成JKS和CSR文件，IIS通过向导建立一个挂起的请求和一个CSR文件。部分CA在线购买系统支持系统自动生成CSR文件。

折叠4.2CA认证

用户将CSR文件提交给CA机构，并根据申请的SSL证书类型（EV、OV、IV、DV），提供对应的身份验证材料。CA机构验证身份材料无误后，签发SSL证书。

未经全球信任的CA认证，由不受信任的任意机构或个人使用工具自主签发的SSL证书，称为“自签SSL证书”。自签名SSL证书可以随意签发，没有第三方监督审核，不受浏览器和操作系统信任。[1]

折叠4.3证书的安装

用户收到SSL证书文件后，将证书部署到服务器上，不同的服务器有不同的安装流程，找到对应安装指南参照执行。见参考。[4]

折叠编辑本段证书应用

折叠5.1绿色地址栏选EV

金融证券、银行、第三方支付、网上商城等，重点强调网站安全和品牌可信形象的网站，涉及交易支付、客户隐私信息和账号密码的传输，可选择显示绿色地址栏的EV SSL证书，赢得用户信赖。

折叠5.2验证企业选OV

电子商务网站、企业网站，涉及注册、登录、会员中心等页面，可使用验证单位名称的OV SSL证书，支持显示中文单位名称和中文域名。

折叠5.3验证个人选IV

自媒体、个人站长等需要显示个人名称的个人品牌网站，可选用验证个人的IV SSL证书。

折叠5.4验证域名选DV

需求急迫、无网站身份认证需求的个人网站，可采用DV SSL证书，只用于网站传输加密，10分快速签发。