Ssl证书先容跟制造

　　 基础先容
　　SSL证书是在SSL通讯中验证通信双方身份的数字文件。SSL证书普通分为服务器证书和客户端证书， 咱们通常说的SSL证书主要指服务器证书。目前的SSL证书以X.509 V3为尺度，每个证书绑定了一个独一甄别号（DN-Distinguished Name ），还可以包括多个字段和值，还可以支撑别名（SAN ，Subject Alternative Name ）。
　　一个组织受信任的根证书会散发给所有需要用到的PKI系统的员工手上。主流浏览器：IE、Netsca pe/Mozilla，Opera和Safari会预先安装一局部根证书，这些根证书都是受信任的证书认证机构C A，这样他们颁发的证书,christian louboutin heels，浏览器将可以直接信任。固然用户可以删除或者禁用这些根证书，但事实上，用户很少这么做,coachstoreoutlet。在最新的微软平台，甚至会在用户移除了预先安顿的根证书后，当用户再访问这些被删除的根证书网站的时候， 会自动将这些根证书恢复到信任列表中。
　　SSL证书应当包含了一个证书撤消列表（CRL-Certificate Revocation List）实行的标准，这在PKI系统中常常被人所疏忽。IETF提出的检查证书有效性的方式是在线证书状 况(OCSP- Online Certificate Status Protocol)。Firefo3 缺省就是使用OCSP协定。
　　SSL证书的重要格局如下：
　　证书数据构造如下：
　　Certificate证书
　　--Version 版本
　　--Serial Number 序列号
　　--Algorithm ID 算法标识
　　--Issuer 颁发者
　　--Validity 有效期
　　>Not Before 有效起始日期
　　>Not After 有效终止日期
　　--Subject 使用者
　　--Subject Public Key Info 使用者公钥信息
　　-- Public Key Algorithm 公钥算法
　　--Subject Public Key 公钥
　　--Issuer Unique Identifier (Optional) 颁发者唯一标识
　　--Subject Unique Identifier (Optional) 使用者唯一标识
　　--Extensions (Optional) 扩大
　　...
　　Certificate Signature Algorithm 证书签名算法
　　Certificate Signature 证书签名
　　SSL证书的工作流程
　　证书如何操作？
　　--用户衔接到你的Web站点，该Web站点受服务器证书所维护。（可由查看 URL的开头是否为"https:"来进行辩识，或浏览器会提供你相干的信息）。
　　--你的服务器进行响应，并主动传递你网站的数字证书给用户，用于辨别你的网站。
　　--用户的网页浏览器程序产生一把唯一的"会话钥匙码"，用以跟网站之间所有的通讯过程进行加密。
　　--使用者的阅读器以网站的公钥对交谈钥匙码进行加密，以便只有让你的网站得以浏览此交谈钥匙码。
　　--当初，存在安全性的通信进程已经建破。这个过程仅需多少秒中时光，且使用者不需进行任何动作。依不同的浏览 器程序而定，使用者会看到一个钥匙的图标变得完全，或一个门栓的图标变成上锁的样子，用于表现目前的工作阶 段具备平安性。
　　如何申请SSL证书申请SSL证书主要须要经由以下3个步骤：
　　1、制作CSR文件。CSR就是Certificate Secure Request证书要求文件,jimmy choo discount shoes。这个文件是由申请人制造，在制作的同时，体系会发生2个密钥，一个是公钥就是这个CSR文件，另外一个是 私钥，寄存在服务器上。要制作CSR文件，申请人能够参考WEB SERVER的文档，个别APACHE等，使用OPENSSL命令行来天生KEY+CSR2个文件，Tom cat，JBoss，Resin等使用KEYTOOL来生成JKS和CSR文件，IIS通过向导树立一个挂 起的恳求和一个CSR文件。假如不乐意学习文档，可以应用一些在线工具，如： https://www.myssl.cn/openssl/createcsr.asp ，通过这些工具会产生2个文件，必需都保留好。
　　2、CA认证。将CSR提交给CA，CA正常有2种认证方法：1、域名认证，一般通过对治理员邮箱认证 的方式，这种方式认证速度快，然而签发的证书中不企业的名称；2、企业文档认证，需要供给企业的营业执照。 一般需要3-5个工作日。 也有需要同时认证以上2种方式的证书，叫EV证书，这种证书可以使IE7以上的浏览器地址栏变成绿色，所以 认证也最严格。
　　3、证书的装置。在收到CA的证书后，可以将证书安排上服务器，一般APACHE文件直接将KEY+C ER复制到文件上，然后修改HTTPD.CONF文件；TOMCAT等，需要将CA签发的证书CER文件导 入JKS文件后，复制上服务器，而后修正SERVER.XML；IIS需要处置挂起的请求，将CER文件导 入。或者可以通过一些网络工具 https://www.myssl.cn/guide/openssl.asp 将KEY和CER合并为服务器可读的证书格式，导入服务器。
　　如何抉择SSL证书
　　目前，国际SSL市场，最大的2家是: Verisign、Geotrust,tory burch discount。
　　　　（1） Verisign证书，比拟合适银行、证券、大型电子商务网站。证书申请很严厉，用度较高。海内用户可以向 Verisign的中国配合搭档“天威诚信”http://www.itrus.com.cn申请，需要提交公司文件，并且域名所有者要与申请者名称完整一致。标准加 密证书8000元/年。
　　　　（2） GeoTrust证书，提供2类SSL证书： QuickSSL Premium、RapidSSL。国内用户可以向Geotrust的中国协作伙伴“迅通诚信” http://www.myssl.cn 申请。
　　　　　a） QuickSSL Premium适合大中型电子商务网站，只要占有域名对于的管理员邮箱就可以快捷申请（付款后几分钟就可以 失掉证书），支持证书免费重发、网站签章等功效。128/256位的加密证书1980元/年。
　　　　　b） RapidSSL适合中小型电子商务网站，只有领有域名对的管理员邮箱就可以疾速申请（付款后几分钟就可以 取得证书），证书重发需另外付费。128/256位的加密证书488元/年。
　　　　如果是银行、证券网站，推荐使用Verisign证书（8000元/年）；
　　　　如果是大中型电子商务网站，推荐使用QuickSSL Premium证书（1980元/年）；
　　　　如果是中小型电子商务网站、SSL-VPN装备、或者是公司Intranet/Extranet系统，推举使用RapidSSL证书（488元/年）。
　　SSL证书的常见毛病，原因和解决办法
　　问题：此网站出具的保险证书不是由受信赖的证书颁发机构颁发的。
　　原因和解决办法:
　　服务器正在使用的SSL证书，没有通过正式的CA颁发。通常是由于没有正确安装了证书，请再检查一下是 否删除了本来的测试证书，如果网站使用的证书是正确的，请从新启动网站过程。
　　问题：此网站出具的安全证书已过期或还未生效。
　　原因和解决方法:
　　这个标识网站使用的证书已经过时，请先检查网站证书的有效期，如果网站证书有效期在今日当前，则请检讨 本地电脑的日期设置，是否准确。
　　问题：此网站出具的安全证书是为其他网站地址颁发的。
　　原因和解决办法:
　　一个SSL证书所对应的域名是一个全域名FQDN( Fully Qualified Domain Name )，如果证书中的域名是www.domain.com，则通过其余相近的域名：web.domain.co m，app.domain.com，domain.com，系统都会讲演和证书中的域名不匹配。
　　问题：我访问网站看到的证书不是我安装的那张。
　　原因和解决办法:
　　请检查，在服务器上相同的IP和雷同的端口上，只安装了一张证书，SSL协议之容许一个IP上一个端口 返回一张证书。要解决这个问题，可以通过调配不同的端口号，或者不同的IP地址来解决这个问题 。
　　问题：本页面包含有不安全的内容。
　　起因跟解决措施:
　　如果一个页面需要通过HTTPS拜访被访问，则其中所有的元素都必须是HTTPS方式，如果有：图片、 JS脚本，FLASH插件是通过HTTP方式去调用的，就会呈现这个过错，最常见的，就是调用flash播 放插件：codebase='http://download.macromedia.com/pub/shockwave/
　　cabs/flash/swflash.cab'，将http改成HTTPS即可。