SSL Certificate

基本介绍

SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道（Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证；对传送的数据进行加密和隐藏；确保数据在传送中不被改变，即数据的完整性，现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中，因此，仅需安装服务器证书就可以激活该功能了）。即通过它可以激活SSL协议，实现数据信息在客户端和服务器之间的加密传输，可以防止数据信息的泄露。保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。

SSL证书安全认证的原理　

安全套接字层 (SSL) 技术通过加密信息和提供鉴权，保护您的网站安全。

一份 SSL 证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息，私用密钥用于解译加密的信息。浏览器指向一个安全域时，SSL 同步确认服务器和客户端，并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证消息的隐私性和完整性的安全会话。

SSL证书的功能

　　a 确认网站真实性（网站身份认证）：用户需要登录正确的网站进行在线购物或其它交易活动，但由于互联网的广泛性和开放性，使得互联网上存在着许多假冒、钓鱼网站，用户如何来判断网站的真实性，如何信任自己正在访问的网站，可信网站将帮你确认网站的身份。

　　b 保证信息传输的机密性：用户在登录网站在线购物或进行各种交易时，需要多次向服务器端传送信息，而这些信息很多是用户的隐私和机密信息，直接涉及经济利益或私密，如何来确保这些信息的安全呢？可信网站将帮您建立一条安全的信息传输加密通道。

　　其实现原理图如下：

　　在SSL会话产生时，服务器会传送它的证书，用户端浏览器会自动的分析服务器证书，并根据不同版本的浏览器，从而产生40位或128位的会话密钥，用于对交易的信息进行加密。所有的过程都会自动完成，对用户是透明的，因而，服务器证书可分为两种：最低40位和最低128位（这里指的是SSL会话时生成加密密钥的长度，密钥越长越不容易破解）证书。

　　最低40位的服务器证书在建立会话时，根据浏览器版本不同，可产生40位或128位的SSL会话密钥用来建立用户浏览器与服务器之间的安全通道。而最低128位的服务器证书不受浏览器版本的限制可以产生128位以上的会话密钥，实现高级别的加密强度，无论是IE或Netscape浏览器，即使使用强行攻击的办法破译密码，也需要10年。

SSL证书分类

      SSL证书依据功能和品牌不同分类有所不同，但SSL证书作为国际通用的产品，最为重要的便是产品兼容性（即证书根预埋技术），因为他解决了网民登录网站的信任问题，网民可以通过SSL证书轻松识别网站的真实身份。目前国际上，常见的证书品牌如VeriSign、GeoTrust等均可以实现该技术。我们以VeriSign证书为例，该类证书分为如下品类：      全球备受信任的网络基础架构供应商——威瑞信（VeriSign）公司宣布，电子付款方案供应商联款通（AsiaPay）采用威瑞信（VeriSign）扩展验证SSL（EV SSL）证书，进一步确保电子商务收付款机制安全，并提高消费者对网上交易的信心。 

　　1、VeriSign 128位SSL支持型证书(VeriSign Secure Site)

　　2、VeriSign 128位SSL强制型证书(VeriSign Secure Site Pro)

　　3、VeriSign 128位EV SSL支持型证书(VeriSign Secure Site with EV)：支持绿色地址栏技术

　　4、VeriSign 128位EV SSL强制型证书(VeriSign Secure Site Pro with EV )：支持绿色地址栏技术

SSL证书的数据结构

　　Certificate证书

　　--Version 版本

　　--Serial Number 序列号

　　--Algorithm ID 算法标识

　　--Issuer 颁发者

　　--Validity 有效期

　　   >Not Before 有效起始日期

　　   >Not After 有效终止日期

　　--Subject 使用者

　　--Subject Public Key Info 使用者公钥信息

　　-- Public Key Algorithm 公钥算法

　　--Subject Public Key 公钥

　　--Issuer Unique Identifier (Optional) 颁发者唯一标识

　　--Subject Unique Identifier (Optional) 使用者唯一标识

　　--Extensions (Optional) 扩展

　　...

　　Certificate Signature Algorithm 证书签名算法

　　Certificate Signature 证书签名

SSL证书的工作流程

证书如何操作？

　　--用户连接到你的Web站点，该Web站点受服务器证书所保护。（可由查看 URL的开头是否为"https:"来进行辩识，或浏览器会提供你相关的信息）。

　　--你的服务器进行响应，并自动传送你网站的数字证书给用户，用于鉴别你的网站。

　　--用户的网页浏览器程序产生一把唯一的"会话钥匙码"，用以跟网站之间所有的通讯过程进行加密。

　　--使用者的浏览器以网站的公钥对交谈钥匙码进行加密，以便只有让你的网站得以阅读此交谈钥匙码。

　　--现在，具有安全性的通讯过程已经建立。这个过程仅需几秒中时间，且使用者不需进行任何动作。依不同的浏览器程序而定，使用者会看到一个钥匙的图标变得完整，或一个门栓的图标变成上锁的样子，用于表示目前的工作阶段具有安全性。

如何申请SSL证书？

　　申请SSL证书主要需要经过以下3个步骤：

　　1、制作CSR文件。

　　CSR就是Certificate Secure Request证书请求文件。这个文件是由申请人制作，在制作的同时，系统会产生2个密钥，一个是公钥就是这个CSR文件，另外一个是私钥，存放在服务器上。要制作CSR文件，申请人可以参考WEB SERVER的文档，一般APACHE等，使用OPENSSL命令行来生成KEY+CSR2个文件，Tomcat，JBoss，Resin等使用KEYTOOL来生成JKS和CSR文件，IIS通过向导建立一个挂起的请求和一个CSR文件。

　　2、CA认证。

　　将CSR提交给CA，CA一般有2种认证方式：1、域名认证，一般通过对管理员邮箱认证的方式，这种方式认证速度快，但是签发的证书中没有企业的名称；2、企业文档认证，需要提供企业的营业执照。一般需要3-5个工作日。 也有需要同时认证以上2种方式的证书，叫EV证书，这种证书可以使IE7以上的浏览器地址栏变成绿色，所以认证也最严格。

　　3、证书的安装。

　　在收到CA的证书后，可以将证书部署上服务器，一般APACHE文件直接将KEY+CER复制到文件上，然后修改HTTPD.CONF文件；TOMCAT等，需要将CA签发的证书CER文件导入JKS文件后，复制上服务器，然后修改SERVER.XML；IIS需要处理挂起的请求，将CER文件导入。

SSL证书应用