申请SSL证书闭坑方法

上来先问一个问题，为什么自己不能成立CA机构发SSL证书产品？为什么有的CA机构不能发被信任SSL证书产品？

真正原因是，SSL证书里面的根证书需要提前放入操作系统及浏览器，然而这些浏览器和操作系统的版本很多，就比如windows目前我们用的电脑系统很多人还用的是：win7系统还是2009年10月22日发布，目前新电脑安装的win10系统于2015年7月29日发行，就是最近的win11系统2021年10月5日发行。

所以要想一本SSL证书被坚固历史发布的所有的浏览器、操作系统版本信任，前提条件这个CA机构最起码是1998年-2001年成立，在一些地方甚至还在使用XP系统或者比较老的安卓、IOS系统等，如果要让他们可以访问网站，新成立的CA机构是不可能的，除非你可以穿越。

市场上的中国国产SSL证书怎么那么多？

中国大陆兼容性达到99%SSL证书还没有，目前可以达到65%的一家国产机构CFCA而且只能确保2015后发布的系统及浏览器信任。

如果你看到别的品牌（CA机构），别管他多么牛逼的公司，都是套牌SSL证书【特别注意首次看到的颁发者不代表他是国产SSL证书；看是否是国产，主要看根证书】

所以你看到打着“国产化”“国产SSL证书”“自主品牌中国本地化SSL证书”这些名词100%是套用国外的CA机构做的非原厂正儿八经的SSL证书，无论多便宜，不建议选择！某些企事单位虽然在用（那是因为他们不懂），但你知道这一刻起，要开始闭坑了。

那么如果要符合国产化SSL证书有什么机构可以选择：目前可以选择GlobalSign（中国签发）、DigiCert（中国数据），这两个机构都符合国产化要求。

案例：

使用GlobalSign机构：中国政府网、工业和信息化部

使用CFCA机构：国家互联网信息办公室

使用DigiCert颁发机构：中国互联网络信息中心

DV、OV、EV怎么选？

首先我们要了解DV、OV、EV他们和数字证书安全有什么关系？

技术上他们都是相同的产品，数字证书这个东西的都是通用参数，要是谁跟你说不一样，那肯定被坑了。

唯一的区别CA机构给他们增加了实名认证OV、EV多了一个实名认证，但对于安全性没有什么关系，只是对使用者SSL证书有不同的保额（套牌SSL证书都是虚标的保额）

选择方式：无论你的主办单位是谁，内容类型的网站或者程序只需用DV类型！包括小程序、入门电子商务网站、政府门户网站、企事单位网站。

什么时候选择OV或者EV？金融系统类型，因为他们必须要有高保额，在在线支付这个网址可以选择OV，机构尽量选择在大陆有CA分公司或者合资公司。EV类型5年前还可以展示在浏览器显示单位名称，但目前只能给一些四大行这种支付页面用用或者不用了。

那么有人问了，实名了不是更安全吗？

SSL证书的实名，只是实名而已和安全不挂钩，假如一个钓鱼网站仿的那是一样的，用户根本看不出来，因为实名的证书和没有实名的证书看起来一样，没有人去关心细节，技术上DV、OV、EV一样安全。

那是不是OV、EV更好些？技术安全、使用上相同，如果很要说更好的地方，就是在你自己打开网站点击小锁，查看证书详情，可以看到自己单位实名单位名称，其它一样的。

以下是DV和OV的区别，你在意就选择OV，不在意就选择DV。

【SSL证书不区分个人还是企业版本，OV个人同样可以办理】

单域名、通配符、多域名怎么选？

有的单位或者个人，网站就一个，还选择通配符？钱多的没地方用了。

1-3个网站内的选择单域名，通配符适合旗下很多子域名站点使用，且子域名多的网站并且带有不确定。

比如：门户网站、小程序、手机独立网站、OA系统，这种情况下可以选择4本单域名或者通配符，当然如果只有门户网站、小程序只要选择单域名。

多域名是指更多域名都不一样，主要是多个一级域名都不同的情况下使用申请。

还需要了解更多知识，欢迎评论获得题材吧。