SSL證書的工作機(jī)制

近年來(lái)，網(wǎng)絡(luò)安全對(duì)于互聯(lián)網(wǎng)的發(fā)展越來(lái)越重要。迄今，HTTP明文協(xié)議紛紛轉(zhuǎn)向HTTPS加密協(xié)議，因?yàn)镠TTPS中的SSL證書是互聯(lián)網(wǎng)最簡(jiǎn)單最快捷的網(wǎng)絡(luò)安全解決方案。SSL證書中的SSL是指安全套接字層（secure soket layer），可對(duì)客戶端與服務(wù)端之間的信息進(jìn)行加密，確保兩者之間的信息安全。

當(dāng)用戶通過(guò)瀏覽器訪問(wèn)已部署SSL證書的網(wǎng)站時(shí)，瀏覽器會(huì)自動(dòng)識(shí)別SSL證書的類型，然后SSL證書就會(huì)為WEB服務(wù)端和瀏覽器搭建安全的鏈接（會(huì)話）。這個(gè)過(guò)程被稱為“SSL握手”，SSL握手是瞬間發(fā)生，用戶是無(wú)法查看的，也無(wú)需用戶干預(yù)。

SSL證書的工作涉及三個(gè)密鑰，分別是：公共密鑰、私人密鑰和會(huì)話密鑰。其中公鑰加密的數(shù)據(jù)只能用匹配的私鑰才能解密，反之亦然。公鑰和私鑰都是配對(duì)存在，我們也稱其為非對(duì)稱秘鑰對(duì)。

一般情況，使用私鑰和公鑰對(duì)真實(shí)進(jìn)行加密解密需要消耗較大的進(jìn)程，因此在SSL握手期間會(huì)用它來(lái)創(chuàng)建對(duì)稱會(huì)話密鑰。建立安全連接后，會(huì)話密鑰用于加密所有的傳輸數(shù)據(jù)，因?yàn)閷?duì)稱秘鑰加密數(shù)據(jù)的效率要遠(yuǎn)遠(yuǎn)高于非對(duì)稱秘鑰。

SSL證書的功能

SSL證書具有2個(gè)重要功能

1）SSL加密，允許用戶安全地通過(guò)互聯(lián)網(wǎng)傳輸數(shù)據(jù)

2）身份驗(yàn)證，驗(yàn)證服務(wù)器是否安全合法。

服務(wù)器瀏覽器通信 – 了解SSL證書的工作原理

當(dāng)用戶訪問(wèn)SSL安全網(wǎng)站時(shí)，

瀏覽器嘗試連接該SSL加密網(wǎng)站。

然后瀏覽器要求Web服務(wù)器識(shí)別自己。

為了識(shí)別，服務(wù)器將SSL證書的副本發(fā)送到瀏覽器。

現(xiàn)在瀏覽器分析證書并驗(yàn)證是否信任它。

如果瀏覽器信任該證書，則會(huì)向服務(wù)器發(fā)送消息

之后，啟動(dòng)SSL加密會(huì)話，服務(wù)器會(huì)發(fā)回一個(gè)數(shù)字簽名確認(rèn)給瀏覽器。

瀏覽器和服務(wù)器之間共享的數(shù)據(jù)正在加密，并出現(xiàn)HTTPS以及相關(guān)的安全標(biāo)識(shí)。

如何啟用HTTPS加密？

獲取SSL證書：

首先，啟用HTTPS加密必須具備SSL證書。SSL證書的類型有三種（1）域驗(yàn)證（2）組織驗(yàn)證（3）擴(kuò)展驗(yàn)證。服務(wù)器用戶可根據(jù)自身需求向數(shù)字證書頒發(fā)機(jī)構(gòu)（CA）申請(qǐng)合適的SSL證書類型。

生成CSR和私鑰：選定SSL證書類型后，下一步就是生成CSR和私鑰。CSR是指證書簽名請(qǐng)求，可通過(guò)CA機(jī)構(gòu)提供的CSR工具或服務(wù)器管理工具中的CSR工具生成。在CSR生成過(guò)程中需要填寫正確的信息，就可獲得編碼（加密）格式的CSR文件和私鑰。然后將CSR包含了服務(wù)器信息和單位信息，提交給CA機(jī)構(gòu)。而私鑰保存在服務(wù)器或本地驅(qū)動(dòng)器上的安全位置。

域名驗(yàn)證：CSR和私鑰生成后，證書將要求申請(qǐng)人提交多個(gè)相關(guān)文件進(jìn)行驗(yàn)證。一般情況下域名驗(yàn)證，驗(yàn)證過(guò)程將通過(guò)電子郵件或上傳文件來(lái)檢查域名注冊(cè)商的信息來(lái)完成。

組織驗(yàn)證（OV），擴(kuò)展驗(yàn)證（EV）和代碼簽名證書：相關(guān)的業(yè)務(wù)文檔驗(yàn)證是強(qiáng)制性的。申請(qǐng)這些證書時(shí)，用戶需要提交數(shù)字證書頒發(fā)機(jī)構(gòu)要求的文檔。核實(shí)后，如果文件符合CA的要求，則可獲取證書。

注意：CA所需的文檔可能會(huì)從一個(gè)權(quán)限更改為另一個(gè)權(quán)限。

SSL安裝：申請(qǐng)的相關(guān)資料被CA機(jī)構(gòu)驗(yàn)證無(wú)誤后，CA將會(huì)為申請(qǐng)者頒發(fā)相關(guān)的SSL證書。申請(qǐng)者可根據(jù)服務(wù)器系統(tǒng)類型安裝SSL證書。本站也提供向SSL證書服務(wù)器安裝指南，詳情請(qǐng)查看SSL證書部署指南

當(dāng)服務(wù)器正確安裝SSL證書后，網(wǎng)站就可啟動(dòng)HTTPS。當(dāng)訪問(wèn)者通過(guò)瀏覽器訪問(wèn)SSL加密網(wǎng)站時(shí)，就會(huì)與WEB服務(wù)器建立安全鏈接。

如何在瀏覽器中查找網(wǎng)站已部署SSL證書的標(biāo)識(shí)？

域驗(yàn)證SSL（DV）證書  – 使用DV SSL證書保護(hù)的網(wǎng)站將只顯示帶綠色鎖定的HTTPS。

組織驗(yàn)證SSL（OV）證書  – 使用OV SSL證書進(jìn)行安全保護(hù)的SSL證書將顯示帶有綠色鎖定的HTTPS，并在網(wǎng)站印章中顯示商業(yè)信息。

擴(kuò)展驗(yàn)證SSL （EV）證書 – 使用EV SSL證書的網(wǎng)站將顯示HTTPS，綠色地址欄以及URL中的組織名稱，并且商業(yè)信息也將顯示在網(wǎng)站印章中。