CA机构
CA机构,即证书授权中心(Certificate Authority)或称证书授权机构。CA认证中心作为电子商务交易中受信任的第三方,承担公钥体系中公钥合法性检验的责任。
SSL证书和SSL协议
安全套接层SSL(Secure Sockets Layer)协议是一种可实现网络通信加密的安全协议,可在浏览器和网站之间建立加密通道,保障数据在传输的过程中不被篡改或窃取。
数字证书是一个经权威授权机构数字签名,包含公开密钥的拥有者信息以及公开密钥的文件,是权威机构颁发给网站的可信凭证。最简单的证书包含一个公开密钥、证书名称以及证书授权中心的数字签名。
SSL证书采用SSL协议进行通信,是由权威机构颁发给网站的可信凭证,具有网站身份验证和加密传输双重功能。SSL证书指定了在应用程序协议(例如,HTTP、Telnet、FTP)和TCP/IP之间提供数据安全性分层的机制。
它是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
SSL证书采用公钥体制,即利用一对互相匹配的密钥对进行数据加密和解密。每个用户自己设定一把特定的、仅为本人所知的私有密钥(私钥),并用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。
SSL证书部署到Web服务器后,您通过Web服务器访问网站时将启用HTTPS协议。您的网站将会通过HTTPS加密协议来传输数据,可帮助您的Web服务器和客户端浏览器间建立可信的加密链接,从而保证网络数据传输的安全。
什么是根证书?
根证书是指CA机构颁发SSL证书的核心,是信任链的起始点。每个浏览器都有根证书库,有的浏览器是采用自主的根证书库,而一些浏览器则使用第三方的根证书库。根证书库是下载客户端浏览器时预先加载根证书的合集。因此根证书是十分重要的,因为它可确保浏览器自动信任已使用私钥签名的SSL证书。
受信任的根证书是属于证书颁发机构(CA),而CA机构是验证和颁发SSL证书的组织机构。
什么是中间证书?
CA机构不会直接使用根证书签发服务器证书(即SSL证书),因为这种操作存在风险性。如果发生错误颁发或者需要撤销根证书,则使用根证书签名的每个证书都会将不受信。
因此,为了避免这种风险发生,CA机构一般会引用中间证书。CA机构使用其私钥对中间证书进行签名,使浏览器信任中间证书。然后CA机构使用中间证书的私钥来签名用户申请的SSL证书。这种中间证书的形式可以重复多次,即使用中间证书给另一个中间证书,然后新的中间证书同样可以签署SSL证书。
这是证书链的可视化过程。从上述例子可看出,CA机构只需要使用一个中间证书就可以简单实现签名,但实际上真正的证书链通常要复杂的多。
如果证书链不完整就会导致下一级证书不受信任,所以,在安装服务器证书时,请确保你的证书链完整。如果缺少中间证书,可以参考下面的方法获取中间证书。
什么是证书链?
浏览器是如何鉴定信任网站的SSL证书?
其实,当客户端访问服务器时,浏览器会查看SSL证书并快速验证SSL证书的真实性。浏览器对SSL证书身份验证流程是根据证书链的内容而操作的。
证书链是什么?
用户在获取SSL证书之前,首先要生成证书签名请求(CSR)和私钥。在最简单的迭代中,用户将生成的CSR提交到证书颁发机构,然后使用CA机构的根证书的私钥对用户的SSL证书签名,并将SSL证书颁发给用户。
在证书链中,通常分为三级结构,根证书、中间证书和服务器证书。在正常的证书链顺序中服务器证书处于最低端,该证书包含了服务器域名,服务器公钥和签名值等。在其上一级则是中间证书,也就是由权威CA机构授权的二级机构,用来签发服务器证书。最上级就是根证书,也就是CA机构,对服务器身份进行校验时,需要验证整个证书链,由于浏览器中集成了权威CA机构的根证书,因此主要是校验中间证书和服务器证书的签名值是否正确,从而构成一条信任链。如下图所示:
其中DigiCert为顶端根证书,GeoTrust CN RSA CA G1为中间证书, *.csdn.net 为服务器证书,
当你点击对应的证书,会显示颁发者之间的关系,这种关系便形成证书链。如下图所示:
在证书链中,通常分三级结构,根证书,中间证书和服务器实体证书,正确的证书链顺序中服务器实体证书处在最底端,里面包含了些服务器域名,
服务器公钥和签名值等。服务器证书上一级是中间证书,中间证书就是上面提到的由权威CA机构授权的二级机构,可以由它来签发服务器证书。
中间证书可以是由多张证书组合在一起,最上级的是根证书,也就是CA机构,对服务器身份进行校验时,需要验证一整个证书链,
由于浏览器中集成了权威CA机构的根证书,因此主要是校验中间证书和服务器实体证书的签名值是否正确。
校验服务器身份需要验证整个证书链,从服务器实体证书开始,服务器实体证书的签发者是上一级中间证书的使用者,中间证书的签发者是上一级根证书的使用者。
每一级证书都有签名值,根证书使用自己的根CA公钥验证自己的签名,也用来验证中间证书的签名值,中间证书的公钥用来验证下一级的服务器实体证书签名值,以此构成一条信任链。
HTTPS
HTTPS也就是HTTP+SSL,基于SSL协议的网站加密传输协议,是HTTP的安全版。
您的网站安装SSL证书后,将会通过HTTPS加密协议来传输数据,HTTPS加密传输协议可激活客户端浏览器到网站服务器之间的SSL加密通道(SSL协议),从而实现高强度双向加密传输,防止传输数据被泄露或篡改。
域名
域名是IP地址的代称,由一串用半角句号(.)分隔的名称组成,在数据传输时用来标识一台服务器或服务器组。
单域名是最简单的域名,例如,www.aliyundoc.com。
通配符域名是指对应一个主域名及其所有次级子域名的域名。
通配符证书
通配符证书也叫泛域名证书,证书绑定的域名为通配符域名(例如*.aliyundoc.com)时,即称该证书为通配符域名证书。
多通配符证书是指绑定多个通配符域名的证书。数字证书管理服务只支持申请单个通配符域名的证书,不支持申请多通配符域名的证书。您可以通过合并多个相同品牌、类型的证书,生成多通配符证书。具体操作,请参见证书合并申请。
混合域名证书
混合域名证书是指绑定的域名既包括单域名,也包括通配符域名的证书。例如,绑定的域名为*.aliyundoc.com、demo.example.com,即称该证书为混合域名证书。
数字证书管理服务不支持申请混合域名证书,您可以通过合并多个相同品牌、类型的证书,生成混合域名证书。具体操作,请参见证书合并申请。
Nginx
Nginx是一款轻量级高并发的Web服务器、反向代理服务器和电子邮件(IMAP和POP3)代理服务器,在BSD-like协议下发行。它可以运行在Linux、Windows、FreeBSD、Solaris、AIX、Mac OS等操作系统上,为您提供反向代理、负载均衡、动静分离等服务。
CSR
CSR(Certificate Signing Request)是证书签名请求文件,包含了您的服务器信息和公司信息。申请证书时需要将您证书的CSR文件提交给CA认证中心审核,CA中心对CSR文件进行根证书私钥签名后会生成证书公钥文件(即签发给您的SSL证书)。
