SSL 证书(也称为公钥证书)是安装在 Web 服务器上的加密文件,可帮助建立安全、加密的在线通信,SSL 证书有两个主要用途:
- 提供加密:当访问者的浏览器通过SSL连接到您的网站时,信息交换是加密的,并且对于试图窃听的网络犯罪分子来说变得无法破译。
- 提供身份验证和信任:从知名证书颁发机构获取的 SSL 证书提供身份验证和信任,这意味着您的访问者可以确保他们已访问正确的网站,并对共享的任何个人信息感到安全。
SSL如何工作
当访问者尝试通过互联网连接到您的网站时,通信双方(客户端和服务器)在建立连接和共享信息之前通过一系列步骤验证彼此的身份,此过程称为 SSL 握手,在此过程中,还会生成会话密钥,该密钥在双方成功相互进行身份验证后提供特定会话的对称加密。
下面列出了 SSL 握手期间在后台发生的步骤序列:
- 客户问候:客户端向服务器发送建立连接的请求,包括其兼容的密码套件和 SSL/TLS 版本的列表。
- 服务器问候:服务器接收请求,检查密码套件和 SSL 版本,并从列表中选择相互兼容的密码套件和 SSL 版本。服务器还会将其证书与公钥一起发送。
- 生成预主密钥:客户端接收证书,提取公钥,并创建称为“预主密钥”的新密钥并将其发送到服务器。
- 预主密钥的解密:服务器使用其私钥解密预主密钥。
- 共享密钥的生成:服务器和客户端现在都使用预主密钥并计算称为会话密钥(对称加密密钥)的共享密钥。
- 客户端验证:客户端将使用会话密钥加密的测试消息发送到服务器。
- 服务器确认:服务器接收消息,使用会话密钥对其进行解密,并将也使用会话密钥加密的确认发送回客户端,请求启动会话。
- 连接建立:会话开始,客户端和服务器都使用会话密钥在会话的其余部分加密其通信。
如何在网站上设置 SSL
SSL 证书通常由称为证书颁发机构(CA)的受信任的第三方实体签名和颁发,然后浏览器才会信任您网站的合法性,在Web服务器上安装SSL证书后,您的网站将利用HTTPS协议来保护与访问者的所有通信。请继续阅读,了解如何在您的网站上设置 SSL,以及激活 HTTPS 的网站对您的品牌形象的好处。
选择正确的证书类型
首先,您应该研究哪种类型的证书适合您的 Web 应用程序。以下是您必须考虑的一些重要标准:
信任级别
商业 CA 提供三种类型的证书,每种证书都涉及对组织进行不同级别的审查:
- 域验证 (DV) 证书:这种类型的证书通过验证域所有者的合法性来保护和加密特定域名。
- 组织验证 (OV) 证书:这种类型的证书是在受信任的 CA 审查请求证书的组织之后生成的,因此它为最终用户提供了比域验证证书更高级别的品牌可信度。
- 扩展验证 (EV) 证书:这种类型的证书提供最高级别的安全性,并涉及对请求证书的组织进行严格审查。审查是根据 CA/浏览器论坛制定的规则进行的。在您的网站上使用 EV SSL 会激活地址栏,并在浏览器的多功能框中显示您组织的名称。
域名数量
根据要使用 SSL 证书保护的域数量,您可以将证书分为以下三种类型:
- 单域证书:这些证书允许用户通过单个证书保护完全限定的域名,这种类型的证书非常适合在其网站上管理有限数量的网页的中小型企业。
- 多域证书:多域证书(也称为 SAN 证书)利用使用者备用名称 (SAN) 在单个证书上保护多达 100 个不同的域名、子域或公共 IP。这些证书的另一个显着优点是,它们不需要主机名的专用 IP 地址,并且可以安装在单个 IP 地址上。
- 通配符证书:这些证书可以保护顶级域 (TLD) 的无限数量的子域,对于管理同一域上的多个页面的组织来说,这是一个不错的选择。虽然这种类型的证书对于削减成本和易于管理非常有效,但一个很大的缺点是在一个子域上吊销证书也会在所有其他子域上吊销它。
除了这两个主要标准外,在为组织的网站选择 SSL 证书时,您还应考虑发行速度、定价、客户支持和其他因素。
请求、获取和安装
为 Web 应用程序选择正确的证书类型后,必须向第三方 CA 提出证书请求,并在相应的 Web 服务器上部署证书。这是通过生成证书签名请求 (CSR) 并将其发送到 CA 来完成的;CA 验证您的域后,将颁发证书。
另一方面,您还可以在网络中设置内部 CA,例如Microsoft证书颁发机构,并向网络中的服务器请求和部署证书。但是,此方法最适合内部 Web 应用程序,而不是面向公众的网站,因为商业浏览器不信任自签名证书。
- 生成 CSR:生成 CSR 是从第三方 CA 请求 SSL 证书的第一步。CSR 通常在安装证书的同一服务器上生成,是一个加密文件,其中包含有关组织和域名的详细信息以及公钥。CSR 通常使用您的私钥进行签名。
- 验证域:将 CSR 提交给第三方 CA 后,CA 将开始验证您的域,验证过程取决于您请求的证书类型和颁发机构。另一方面,OV和EV SSL的验证程序更加严格,涉及对组织身份的背景调查。
- 安装和最后步骤:验证过程完成后,CA 将颁发证书,然后安装在终端服务器上,不同服务器类型的安装过程不同。安装成功后,重新启动服务器以使证书生效。还应在部署后扫描 SSL 证书,以确保没有任何配置漏洞,并且它们提供的信任完好无损。
设置 SSL 的整个过程(从 CSR 生成到端点服务器上的部署)都可以手动完成,但是,随着证书数量的增加,IT 管理员很难简化流程并保持无错误。安全专业人员强烈建议企业采用集中式方法来管理证书生命周期,以防止意外过期和权限滥用的风险。
设置 SSL 的其他好处
毫无疑问,SSL构成了网站安全的唯一基础,也就是说,您的组织还可以从其网站上设置 SSL 中获得许多其他好处。
- 更好的搜索引擎排名:具有HTTPS保护的网站在搜索引擎排名中比HTTP网站有所提高。
- 提高转化率:由于HTTPS网站在搜索引擎结果中的位置很高,因此它们可能会比使用HTTP保护的网站产生更好的转化率。
- 提高客户信任度:作为安全性的指示,搜索引擎在其浏览器多功能框中显示HTTPS站点的挂锁图标,这有助于访问者知道他们在值得信赖的站点上。
- 更好的品牌可信度:除了将HTTPS网站标记为具有更好的安全性外,搜索引擎还会为HTTP网站发出安全警告,这可能会大大降低品牌的可信度。
Key Manager Plus 是基于 Web 的 SSH 密钥和 SSL证书管理解决方案,为管理员提供了对其 SSL 环境的急需的可见性和控制,它集中并自动化了与管理证书生命周期相关的操作,并帮助预防由于意外证书过期而导致的安全攻击、合规性问题和站点中断。
原文链接:https://zhuanlan.zhihu.com/p/662212924