网络安全已成为所有互联网用户的重中之重的问题。迄今为止SSL证书是防护网站安全的最好及最简单的解决方案,对传输数据进行加密防止数据被盗或被篡改。 “SSL”代表安全套接字层,安全套接字层是用于服务器之上的一个加密系统,确保在客户端与服务器之间传输的数据安全与隐密的
当浏览器访问部署了SSL证书的网站时,浏览器会识别SSL证书,然后Web服务器和浏览器建立安全连接或会话,此过程有时称为“SSL握手”(见下图) 。有三个密钥用于设置建立SSL连接:公钥,私钥和会话密钥。基本上,用公钥加密的任何东西只能用匹配的私钥解密,反之亦然。
通常,使用私钥和公钥加密和解密需要很多处理能力,因此它们仅在“SSL握手”期间以创建对称会话密钥。在建立安全连接之后,会话密钥用于实际加密所有发送的数据。
SSL证书的功能
SSL证书提供了两个重要的功能
1)SSL加密,允许用户通过互联网安全传输数据
2)身份验证,验证客户端以及服务端两者是否合法。
了解SSL证书的工作原理
用户访问SSL安全网站时
浏览器尝试连接部署了SSL证书的加密网站。
然后浏览器要求网络服务器识别网站身份。
为了识别,服务器将SSL证书的副本发送到浏览器。
浏览器分析证书验证是否信任。
如果浏览器信任证书,它会给服务器一个消息
之后,要启动SSL加密会话,服务器会向浏览器发回数字签名的确认。
现在,浏览器和服务器之间共享的数据正在加密,并出现HTTPS。
如何启用HTTPS加密?
获取SSL证书:要求启用HTTPS的大前提下必须拥有一张SSL证书。目前主要有3种类型的SSL证书用于Web安全:
1、域名验证(DV SSL证书)
2、机构验证(OV SSL证书)
3、扩展验证(EV SSL证书)
选择适合您网站安全的SSL证书。可通过SSL证书颁发机构(CA)或通过经销商申请SSL证书。
生成CSR和私有密钥(Key):申请人制作CSR文件,可用CSR工具生成CSR(证书签名请求)。在CSR生成过程中填写正确的信息,即可获得编码(加密)格式的文件CSR和私钥。然后把CSR和私钥保存到服务器或硬盘驱动器上的文件中。
申请文件验证:CSR和私有密钥生成后,证书颁发机构(CA)将要求申请人提交相关的验证文件进行审核验证。如:
域名验证(DV SSL证书)
申请DV SSL证书只需要通过电子邮件或上传文件形式验证域名注册商的信息即可完成验证。
机构验证(OV SSL证书)以及扩展验证(EV SSL证书)
申请OV SSL证书、EV SSL证书相对比较严格,强制提交业务相关文档验证,并且申请人必须提交证书颁发机构(CA)所要求的文件。在验证所有文件后,如果符合CA的要求,CA将快速颁发证书。
注意:CA要求的文档将有所不同,具体取决于证书颁发机构。
SSL安装:一旦通过经过CA验证即可换取SSL证书,接下来就要把SSL证书安装服务器。一般把APACHE文件直接将KEY+CER复制到文件上,然后修改HTTPD.CONF文件;TOMCAT等,需要将CA签发的证书CER文件导入JKS文件后,复制上服务器,然后修改SERVER.XML;IIS需要处理挂起的请求,将CER文件导入。
完成SSL安装过程后,网站已准备好HTTPS,用户在浏览已部署SSL证书加密的网站时即可建立安全连接。
如何通过浏览器查看SSL证书加密?
域名验证(DV SSL证书)-已部署DV SSL证书的安全网站只显示HTTPS与安全锁。
组织验证(OV SSL证书)-已部署OV SSL证书的安全网站将显示HTTPS与安全锁,点击安全锁标志可查看证书详细信息的企业名称。
扩展验证SSL(EV SSL证书)-已部署EV SSL证书的安全网站与OV SSL证书一样显示HTTPS与安全锁,点击安全锁标志可查看证书详细信息,同时地址栏会变成绿色并且直接显示企业名称并循环展示CA机构的名称。