什么是SSL證書(shū)?
SSL證書(shū)(也稱(chēng)為數(shù)字證書(shū))在保護(hù)兩個(gè)系統(tǒng)之間的通信方面起著重要作用。
SSL證書(shū)是由授權(quán)證書(shū)頒發(fā)機(jī)構(gòu)(CA)頒發(fā)的數(shù)據(jù)文件。正如您在前一章中所了解到的,SSL使用非對(duì)稱(chēng)加密技術(shù)使用密鑰對(duì)(公鑰和私鑰)在兩個(gè)系統(tǒng)之間建立加密鏈接。SSL證書(shū)包含所有者的公鑰和其他詳細(xì)信息。Web服務(wù)器通過(guò)SSL證書(shū)向?yàn)g覽器發(fā)送公鑰,瀏覽器會(huì)對(duì)其進(jìn)行驗(yàn)證,并使用SSL證書(shū)對(duì)Web服務(wù)器進(jìn)行身份驗(yàn)證。
您可以打開(kāi)任何https網(wǎng)站的證書(shū)。例如,在Google Chrome瀏覽器中輸入網(wǎng)址https://www.google.com以檢查google.com的SSL證書(shū)。任何https網(wǎng)站都會(huì)在地址欄中有一個(gè)掛鎖安全,如下所示。
?
?
單擊掛鎖符號(hào)并單擊Certificate,如下所示。
?
?
這將打開(kāi)證書(shū),如下所示。
?
?
如您所見(jiàn),在“常規(guī)”選項(xiàng)卡中,證書(shū)顯示“頒發(fā)給”,“頒發(fā)者”和“有效期自”和“有效”日期。詳細(xì)信息選項(xiàng)卡包含其他信息?!白C書(shū)路徑”選項(xiàng)卡包含有關(guān)所有中間證書(shū)和根CA證書(shū)的信息。
X.509
X.509是定義數(shù)字證書(shū)格式的標(biāo)準(zhǔn)。SSL使用X.509格式。換句話說(shuō),SSL證書(shū)實(shí)際上是X.509證書(shū)。
X.509使用名為Abstract Syntax Notation One(ASN.1)的形式語(yǔ)言來(lái)表示證書(shū)的數(shù)據(jù)結(jié)構(gòu)。
?
?
X.509格式的SSL證書(shū)包括以下信息:
版本:根據(jù)X.509的證書(shū)數(shù)據(jù)格式的版本號(hào)。
序列號(hào):?CA分配的證書(shū)的唯一標(biāo)識(shí)符
公鑰:所有者的公鑰
主題:所有者的姓名,地址,國(guó)家和域名
頒發(fā)者:頒發(fā)證書(shū)的CA的名稱(chēng)
Valid-From:證書(shū)有效的日期
有效期至:到期日期
簽名算法:用于創(chuàng)建簽名的算法
指紋:證書(shū)的哈希值
指紋算法:用于創(chuàng)建證書(shū)哈希的算法
SSL證書(shū)的類(lèi)型
根據(jù)驗(yàn)證級(jí)別和它們保護(hù)的域數(shù),目前有不同類(lèi)型的SSL證書(shū)可用。所有類(lèi)型的證書(shū)的加密級(jí)別保持不變,但驗(yàn)證級(jí)別和外觀不同。
基于驗(yàn)證級(jí)別的SSL證書(shū)類(lèi)型
網(wǎng)站使用SSL證書(shū)與訪問(wèn)者和客戶(hù)建立信任級(jí)別。不同的企業(yè)需要設(shè)置不同級(jí)別的信任。例如,收集用戶(hù)重要信息的網(wǎng)站需要安全地傳輸。金融機(jī)構(gòu)需要設(shè)置域名真實(shí)性和數(shù)據(jù)安全性。因此,CA需要根據(jù)他們想要設(shè)置的信任來(lái)驗(yàn)證網(wǎng)站所有者的信息。以下三種類(lèi)型的證書(shū)基于驗(yàn)證級(jí)別。
域驗(yàn)證證書(shū)
域驗(yàn)證(DV)證書(shū)需要最低級(jí)別的驗(yàn)證,因?yàn)镈V證書(shū)的主要目的是在域的Web服務(wù)器和瀏覽器之間進(jìn)行安全通信。CA僅驗(yàn)證所有者是否可以控制域。
組織驗(yàn)證證書(shū)
組織驗(yàn)證(OV)證書(shū)需要中級(jí)驗(yàn)證,其中CA檢查組織使用域的權(quán)限以及組織的信息。OV證書(shū)可增強(qiáng)組織及其域的信任級(jí)別。
擴(kuò)展的驗(yàn)證證書(shū)
擴(kuò)展驗(yàn)證(EF)證書(shū)需要高級(jí)驗(yàn)證,CA根據(jù)指南對(duì)組織進(jìn)行嚴(yán)格的背景檢查。這包括核實(shí)該實(shí)體的法律,實(shí)際和業(yè)務(wù)存在。
基于其安全域數(shù)的SSL證書(shū)類(lèi)型
以下證書(shū)基于需要保護(hù)的域的數(shù)量。
單域證書(shū)
單域證書(shū)可以保護(hù)一個(gè)完全限定的域名。例如,www.example.com的單個(gè)域證書(shū)無(wú)法保護(hù)mail.example.com的通信安全。
通配符SSL證書(shū)
通配符SSL證書(shū)可為單個(gè)域保護(hù)無(wú)限數(shù)量的子域。例如,example.com的通配符SSL證書(shū)也將保護(hù)mail.example.com,blog.example.com等。
統(tǒng)一SSL證書(shū)/多域SSL證書(shū)/ SAN證書(shū)
在SAN擴(kuò)展的幫助下,統(tǒng)一SSL證書(shū)使用相同的證書(shū)可以保護(hù)多達(dá)100個(gè)域。它專(zhuān)門(mén)用于保護(hù)Microsoft Exchange和Office通信環(huán)境。
一旦選擇了所需的SSL證書(shū)類(lèi)型,就需要從知名的CA中獲取它。在下一章中了解如何獲取SSL證書(shū)。
2019.04.18SSL如何工作?
?
2019.04.18什么是https?
?