SSL證書常見問題解答

SSL證書常見問題解答

1、什么是SSL證書？

SSL證書就是遵守SSL安全套接層協議的服務器數字證書，而SSL安全協議最初是由美國網景Netscape Communication公司設計開發，全稱為安全套接層協議（Secure Sockets Layer）。SSL證書指定了在應用程序協議（如HTTP、Telnet、FTP）和TCP/IP之間提供數據安全性分層的機制。它是在傳輸通信協議（TCP/IP）上實現的一種安全協議，采用公開密鑰技術，它為TCP/IP連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。由于此協議很好地解決了互聯網明文傳輸的不安全問題，很快得到了業界的支持，并已經成為國際標準。SSL證書由瀏覽器中受信任的根證書頒發機構在驗證服務器身份后頒發，具有網站身份驗證和加密傳輸雙重功能。

2、什么是公鑰和私鑰？

公鑰（Public Key）與私鑰（Private Key）是通過加密算法得到的一個密鑰對（即一個公鑰和一個私鑰，也就是非對稱加密方式）。公鑰可對會話進行加密、驗證數字簽名，只有使用對應的私鑰才能解密會話數據，從而保證數據傳輸的安全性。公鑰是密鑰對外公開的部分，私鑰則是非公開的部分，由用戶自行保管。

通過加密算法得到的密鑰對可以保證在世界范圍內是唯一的。使用密鑰對的時候，如果用其中一個密鑰加密一段數據，只能使用密鑰對中的另一個密鑰才能解密數據。例如：用公鑰加密的數據必須用對應的私鑰才能解密；如果用私鑰進行加密也必須使用對應的公鑰才能解密，否則將無法成功解密。

3、服務器IP地址更換后原來的SSL證書能否生效，需要怎樣解決？

SSL證書都是針對域名綁定的，不受服務器更換IP地址的影響。只要證書綁定的域名不變，就可以重新解析到新的IP地址，原來的SSL證書仍然可以生效，不需要更換新的證書。

4、SSL證書快過期了怎么辦？

SSL數字證書過期之后將無法繼續使用，您需要在證書到期前及時續費，并重新綁定域名和提交審核。審核通過后，您將獲得一張新的數字證書，您需要在您的服務器上安裝新的數字證書來替換即將過期的證書。

*證書到期前需預留3-10個工作日進行重新購買，以免證書審核還未完成之前現有證書已經過期。

5、證書申請到下發需要多久？

證書分為：DV，OV，EV三個版本

DV簽發時間在1個工作日左右

OV簽發時間在3-5個工作日左右

EV簽發時間在7個工作日左右

6、證書申請大概流程

DV證書：用戶購買完畢后，在產品盒子后臺進行證書信息提交（提交時需保證填寫信息正確且無空格），提交完畢后，半小時左右出驗證信息（域名驗證或文件驗證），用戶需按要求進行信息驗證，驗證成功后，一小時左右簽發證書。

OV證書&EV證書：

1）用戶購買完畢后，在控制后臺進行證書信息提交（提交時需保證填寫信息正確且無空格）；

2）提交完畢后在填寫信息頁面下載“信息確認函模板”進行信息填寫并加蓋公章，將文件生成PDF或者WORD版本（提交文件需為一張）上傳至后臺。

3）等待CA機構對確認函信息確認并電話核實。

4）確認無誤后，出驗證信息（域名驗證或文件驗證）

5）用戶需按要求進行信息驗證，驗證成功后，簽發證書。

7、主流數字證書都有哪些格式？

一般來說，主流的Web服務軟件，通常都基于OpenSSL和Java兩種基礎密碼庫。

Tomcat、Weblogic、JBoss等Web服務軟件，一般使用Java提供的密碼庫。通過Java Development Kit （JDK）工具包中的Keytool工具，生成Java Keystore（JKS）格式的證書文件。

Apache、Nginx等Web服務軟件，一般使用OpenSSL工具提供的密碼庫，生成PEM、KEY、CRT等格式的證書文件。

IBM的Web服務產品，如Websphere、IBM Http Server（IHS）等，一般使用IBM產品自帶的iKeyman工具，生成KDB格式的證書文件。

微軟Windows Server中的Internet Information Services（IIS）服務，使用Windows自帶的證書庫生成PFX格式的證書文件。

8、開通證書服務可以購買綁定了IP的證書嗎？

公網IP是可以的。但是綁定了IP的證書，不支持應用在IE11以下版本的瀏覽器中。

9、如何判斷證書文件是文本格式還是二進制格式？

您可以使用以下方法簡單區分帶有后綴擴展名的證書文件：

? *.DER或*.CER文件： 這樣的證書文件是二進制格式，只含有證書信息，不包含私鑰。

? *.CRT文件： 這樣的證書文件可以是二進制格式，也可以是文本格式，一般均為文本格式，功能與 *.DER及*.CER證書文件相同。

? *.PEM文件： 這樣的證書文件一般是文本格式，可以存放證書或私鑰，或者兩者都包含。 *.PEM 文件如果只包含私鑰，一般用*.KEY文件代替。

? *.PFX或*.P12文件： 這樣的證書文件是二進制格式，同時包含證書和私鑰，且一般有密碼保護。

您也可以使用記事本直接打開證書文件。如果顯示的是規則的數字字母，例如：

—–BEGIN CERTIFICATE—–

MIIE5zCCA8+gAwIBAgIQN+whYc2BgzAogau0dc3PtzANBgkqh......

—–END CERTIFICATE—–

那么，該證書文件是文本格式的。

? 如果存在——BEGIN CERTIFICATE——，則說明這是一個證書文件。

如果存在—–BEGIN RSA PRIVATE KEY—–，則說明這是一個私鑰文件。