1.什么是SSL證書?SSL證書就是遵守SSL安全套接層協(xié)議的服務(wù)器數(shù)字證書,而SSL安全協(xié)議最初是由美國網(wǎng)景Netscape Communication公司設(shè)計(jì)開發(fā),全稱為安全套接層協(xié)議(Secure Sockets Layer)。SSL證書指定了在應(yīng)用程序協(xié)議(如HTTP、Telnet、FTP)和TCP/IP之間提供數(shù)據(jù)安全性分層的機(jī)制。它是在傳輸通信協(xié)議(TCP/IP)上實(shí)現(xiàn)的一種安全協(xié)議,采用公開密鑰技術(shù),它為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶機(jī)認(rèn)證。由于此協(xié)議很好地解決了互聯(lián)網(wǎng)明文傳輸?shù)牟话踩珕栴},很快得到了業(yè)界的支持,并已經(jīng)成為國際標(biāo)準(zhǔn)。SSL證書由瀏覽器中受信任的根證書頒發(fā)機(jī)構(gòu)在驗(yàn)證服務(wù)器身份后頒發(fā),具有網(wǎng)站身份驗(yàn)證和加密傳輸雙重功能。
2.什么是公鑰和私鑰?公鑰(Public Key)與私鑰(Private Key)是通過加密算法得到的一個(gè)密鑰對(即一個(gè)公鑰和一個(gè)私鑰,也就是非對稱加密方式)。公鑰可對會話進(jìn)行加密、驗(yàn)證數(shù)字簽名,只有使用對應(yīng)的私鑰才能解密會話數(shù)據(jù),從而保證數(shù)據(jù)傳輸?shù)陌踩浴9€是密鑰對外公開的部分,私鑰則是非公開的部分,由用戶自行保管。通過加密算法得到的密鑰對可以保證在世界范圍內(nèi)是唯一的。使用密鑰對的時(shí)候,如果用其中一個(gè)密鑰加密一段數(shù)據(jù),只能使用密鑰對中的另一個(gè)密鑰才能解密數(shù)據(jù)。例如:用公鑰加密的數(shù)據(jù)必須用對應(yīng)的私鑰才能解密;如果用私鑰進(jìn)行加密也必須使用對應(yīng)的公鑰才能解密,否則將無法成功解密。3.服務(wù)器IP地址更換后原來的SSL證書能否生效,需要怎樣解決?
SSL證書都是針對域名綁定的,不受服務(wù)器更換IP地址的影響。只要證書綁定的域名不變,就可以重新解析到新的IP地址,原來的SSL證書仍然可以生效,不需要更換新的證書。
4.SSL證書快過期了怎么辦?SSL數(shù)字證書過期之后將無法繼續(xù)使用,您需要在證書到期前及時(shí)續(xù)費(fèi),并重新綁定域名和提交審核。審核通過后,您將獲得一張新的數(shù)字證書,您需要在您的服務(wù)器上安裝新的數(shù)字證書來替換即將過期的證書。*證書到期前需預(yù)留3-10個(gè)工作日進(jìn)行重新購買,以免證書審核還未完成之前現(xiàn)有證書已經(jīng)過期。
5.證書申請到下發(fā)需要多久?證書分為:DV,OV,EV三個(gè)版本DV簽發(fā)時(shí)間在1個(gè)工作日左右OV簽發(fā)時(shí)間在3-5個(gè)工作日左右
EV簽發(fā)時(shí)間在7個(gè)工作日左右
6.證書申請大概流程:DV證書:用戶購買完畢后,在產(chǎn)品盒子后臺進(jìn)行證書信息提交(提交時(shí)需保證填寫信息正確且無空格),提交完畢后,半小時(shí)左右出驗(yàn)證信息(域名驗(yàn)證或文件驗(yàn)證),用戶需按要求進(jìn)行信息驗(yàn)證,驗(yàn)證成功后,一小時(shí)左右簽發(fā)證書。OV證書&EV證書:1)用戶購買完畢后,在控制后臺進(jìn)行證書信息提交(提交時(shí)需保證填寫信息正確且無空格);2)提交完畢后在填寫信息頁面下載“信息確認(rèn)函模板”進(jìn)行信息填寫并加蓋公章,將文件生成PDF或者WORD版本(提交文件需為一張)上傳至后臺。3)等待CA機(jī)構(gòu)對確認(rèn)函信息確認(rèn)并電話核實(shí)。4)確認(rèn)無誤后,出驗(yàn)證信息(域名驗(yàn)證或文件驗(yàn)證)
5)用戶需按要求進(jìn)行信息驗(yàn)證,驗(yàn)證成功后,簽發(fā)證書。
7. 主流數(shù)字證書都有哪些格式?一般來說,主流的Web服務(wù)軟件,通常都基于OpenSSL和Java兩種基礎(chǔ)密碼庫。Tomcat、Weblogic、JBoss等Web服務(wù)軟件,一般使用Java提供的密碼庫。通過Java Development Kit (JDK)工具包中的Keytool工具,生成Java Keystore(JKS)格式的證書文件。 Apache、Nginx等Web服務(wù)軟件,一般使用OpenSSL工具提供的密碼庫,生成PEM、KEY、CRT等格式的證書文件。IBM的Web服務(wù)產(chǎn)品,如Websphere、IBM Http Server(IHS)等,一般使用IBM產(chǎn)品自帶的iKeyman工具,生成KDB格式的證書文件。
微軟Windows Server中的Internet Information Services(IIS)服務(wù),使用Windows自帶的證書庫生成PFX格式的證書文件。
8.開通證書服務(wù)可以購買綁定了IP的證書嗎?公網(wǎng)IP是可以的。但是綁定了IP的證書,不支持應(yīng)用在IE11以下版本的瀏覽器中。
9.如何判斷證書文件是文本格式還是二進(jìn)制格式?您可以使用以下方法簡單區(qū)分帶有后綴擴(kuò)展名的證書文件:? *.DER或*.CER文件: 這樣的證書文件是二進(jìn)制格式,只含有證書信息,不包含私鑰。? *.CRT文件: 這樣的證書文件可以是二進(jìn)制格式,也可以是文本格式,一般均為文本格式,功能與 *.DER及*.CER證書文件相同。? *.PEM文件: 這樣的證書文件一般是文本格式,可以存放證書或私鑰,或者兩者都包含。 *.PEM 文件如果只包含私鑰,一般用*.KEY文件代替。? *.PFX或*.P12文件: 這樣的證書文件是二進(jìn)制格式,同時(shí)包含證書和私鑰,且一般有密碼保護(hù)。您也可以使用記事本直接打開證書文件。如果顯示的是規(guī)則的數(shù)字字母,例如: —–BEGIN CERTIFICATE—–MIIE5zCCA8+gAwIBAgIQN+whYc2BgzAogau0dc3PtzANBgkqh......—–END CERTIFICATE—–那么,該證書文件是文本格式的。? 如果存在——BEGIN CERTIFICATE——,則說明這是一個(gè)證書文件。 如果存在—–BEGIN RSA PRIVATE KEY—–,則說明這是一個(gè)私鑰文件。