ssl证书图文教程（干货SSL证书怎么选型）

前言：本文为大家全面介绍SSL工作原理、类别以及如何选型，请大家多多点赞、收藏、评论、关注哦！[玫瑰][玫瑰]

SSL是安全套接层协议（Secure Socket Layer）的缩写。它能够为明文的TCP/IP协议（例如HTTP）提供以下安全服务：

1. 认证收发方的身份，确认数据是由正确的发送方发送；
2. 对收发过程中的数据进行加密，确保不被第三方（中间人）窃听；
3. 对收发过程中的数据进行完整性校验，确保数据未受到非预期的篡改。

1. SSL工作原理

SSL同时使用了对称加密和非对称加密技术，以HTTPS为例，其大致工作原理及流程如下：

1. 用户浏览器发起连接请求。

2. 服务器发送其非对称公钥（服务器拥有非对称加密的公私钥对（即SSL证书），私钥始终存放于服务器，不会发出）。

3. 浏览器随机生成对称会话密钥，并使用服务器的非对称公钥对其进行加密。然后将其发送到服务器。

4. 服务器使用其非对称私钥解密获得浏览器对称会话密钥。这时双方都有了对称会话密钥，后续所有的数据传输也都使用这个对称会话密钥进行加密和解密，直到会话结束。新的会话会由浏览器随机生成新的对称会话密钥。

2. SSL证书颁发机构

上面提到SSL工作原理和流程，其中WEB服务器所拥有的非对称公私钥对即我们通常所说的SSL证书，客户端（例如用户浏览器）对WEB服务端的信任也主要是来自于其所使用的SSL证书。从理论上来说，任何人都可以自行签发SSL证书，但这会带来问题：操作系统或浏览器无法识别哪些证书是真实的，哪些是恶意假冒的，从而无法达到SSL证书原本用于加密、防篡改等目的。因此SSL证书通常是由一个受信任的第三方权威机构——证书授权中心（Certificate Authority，CA）产生、分配并管理的。而浏览器和操作系统中预置了这些机构的根证书，不在证书信任链中的自签名证书网站会被阻止访问并提示风险。

当前，国际上有WebTrust机构来对SSL证书颁发机构进行审计认证，只有通过WebTrust国际安全审计认证的根证书才能预装到主流的浏览器中，国际上常见的SSL证书颁发机构有Symantec（赛门铁克）、GeoTrust、Comodo等，国内有CNNIC CA、沃通CA、上海CA和中国金融认证中心CFCA通过了WebTrust认证，完成了在主流浏览器IE、Firefox、Chrome等根证书的嵌入。

3. SSL证书类别

SSL证书按大类一般可分为DV SSL、OV SSL、EV SSL证书。有的也会叫做域名型、企业型、增强型证书，不同的厂商叫法可能有所不同，但差别不大。

1）域名型SSL证书（DV SSL），证书颁布机构只对域名的所有权进行在线查验，通常是验证域名下某个指定文件的内容，或者验证与域名相关的某条TXT记录；

2）企业型SSL证书（OV SSL），是要购买者提交组织机构资料和单位授权信等在官方注册的凭证，证书颁发机构在签发SSL证书前不仅仅要检验域名所有权，还必须对这些资料的真实合法性进行多方查验，只有通过验证的才能颁发SSL证书。

3）增强型SSL证书（EV SSL），与其他SSL证书一样，都是基于SSL/TLS安全协议，但是验证步骤更多，这样一来证书所绑定的网站就更加的可靠、可信。通常用于银行、金融等行业。部分浏览器（例如IE）对待这种证书会给予额外的外观展示，诸如地址栏底色变为绿色，同时右侧显示企业名称等，但也有主流浏览器（Chrome、火狐等）逐渐淡化这种区分：

IE浏览器：

Chrome浏览器：

火狐浏览器：

4. SSL证书选择

4.1类别选择

从本质上来讲，前面提到的三种证书作用完全一样，都能够对网站流量进行加密。EV SSL证书由于其严格的企业或组织身份认证流程而更显得网站的身份真实可靠，因此被小部分浏览器添加外观上的区分。但EV SSL证书价格昂贵，申请流程复杂、周期长，并不推荐普通企业或机构选择。

因此，普通个人或企业用户选择DV或OV SSL证书即可。

4.2有效期选择

SSL证书有效期通常以年为单位，最长为2年3个月，此外，也有部分证书颁发机构（例如Let's Encrypt）将最长证书有效期设置为3个月。证书应当在有效期超过前重新签发，否则证书失效，影响网站访问。可根据自身需求在购买SSL证书时合理选择有效期。

4.3证书颁发机构选择

尽量选择权威的证书颁发机构，在购买前可搜索证书颁发机构是否存在“黑历史”，例如过去有部分证书颁发机构因涉及违规签发数字证书并且存在安全审计等问题而被主流浏览器设置为不受信任的SSL证书，影响所有使用其SSL证书的网站的访问。

4.4单域名、泛域名、多域名证书

单域名证书：仅保护单个具体域名，可以是子域名也可以是主域名，例如www.xxx.com。当申请证书的域名是主域名时，默认保护带www和不带www。例如为xxx.com申请SSL证书，则www.xxx.com也可以使用该SSL证书保护。

多域名证书：可以同时保护多个网站域名，给多个域名安装同一个SSL证书，例如：同时保护xxx.com、xxx.net、xxx1.com等多个网站，支持不同主域名，也可以是二级域名，但至少要包括2个域名，最多支持150个域名。

泛域名证书：又叫通配符证书，一个通配符证书支持一个域名以及该域名所有下一级域名，不限制下一级域名数量。例如申请*.xxx.com证书，则类似www.xxx.com，bbs..xxx.com，news..xxx.com都可以同时使用该证书保护，无需为每个域名额外申请证书。

如何选择：

• 只有一个域名或者后续不在添加新域名的用户可以选择单域名SSL证书，
• 拥有多个不同域名的网站，或者后续有添加新域名的企业或者组织，申请多域名SSL证书可减少购买SSL证书的成本和时间。
• 如果只有一个顶级域名，以及该域名下拥有多个子域名的企业或者组织，并且后续没有添加新的顶级域名的计划，则可申请通配符证书，节约时间和金钱成本。

作者：李凌

更多干货尽在【中国信创服务社区】，点击左下角“了解更多”即可进入！

,