常见问题
SSL(Secure Socket Layer 安全套接层)记录是互联网标准用户和网站之间的通信加密系统。通过SSL连接发送的数据是受到一种防止窃听和篡改任何传输数据的加密机制保护的。因可保密信用卡号码和个人数据等资料使企业和消费者对网站的信任。
它为通过互联网或内部网络连接,进行操作的两台机器之间,提供安全的通道。 当浏览器需要通过不可靠的互联网,与服务器安全地连接时,我们通常可以看到SSL技术被使用于其中。
要更多了解什么是SSL,需要从技术上来说。SSL是一种传输协议,当传输双方建立安全传输时,它很少需要终端用户进行其他操作。 以浏览器为例,用户通过浏览器显示出的小锁图标,可得知目前正使用SSL传输,如果使用了更先进的EV SSL,那么除了显示小锁图标以外,浏览器的地址栏也会变成绿色。 这就是SSL成功的关键——对于终端用户,这是一种超乎想象的简单体验。
实际中,SSL如何在现代化的商业里得到应用呢?
如信用卡交易等网络通信, 其他网络通信,如登陆页面、网页表单、网络邮件、控制面板或其他需要保护的网站页面区域, 通过https和FTP服务进行文件转移,如网站站主对其网站进行页面的更新,电子邮件客户端程序与邮件服务器间的连接,如Microsoft Outlook与Microsoft Exchange之间, 基于通信的内部网络,如企业内部网、外延网以及数据库连接。
所有这些应用,都具有一些共同的特性:
通过互联网或网络传输的数据,具有机密性,换而言之,人们不希望将他们的信用卡详细信息暴露在网络上。 数据必须保持完整,也就是说,一旦发送了信用卡详细信息和扣除费用总和,黑客无法在中间环节更改费用总和及资金流向。 您的组织或企业必须向您的客户或外网使用者担保,您确实是您本人,而不是伪装成您的其他人。 您的组织或企业必须遵守有关数据保密和安全诚信的地区、国家、及全球性规则。
域名验证 (DV)
域名验证(DV)证书只需要申请人验证他/她是该域名的所有者。验证只需接收到属于该域的验证申请人拥有使用权域的WHOIS信息或电子邮件地址发送一封电子邮件即可。域名验证的发行速度快,但因为几乎每个人都能够得到DV证书的颁发而导致信任级别较低。
组织/机构验证 (OV)
组织验证(OV)证书需要验证申请人的组织资料,以确保它是一个实际的组织。他们验证组织名称,地址,和电话号码。这些数据必须与WHOIS信息、公开政府信息网站或批准的第三方网站吻合。OV证书增加消费者的信心,因为他们能确定他们正在与一个真正的企业实体进行业务。
扩展验证 (EV)
扩展验证(EV)证书也被称为“绿栅”的证书。它被称为最值得信赖的SSL证书类型。在EV验证过程中,发行供应商或CA完整的验证出申请者是合法的业务和良好的信誉。这个过程一旦顺利完成,并发出了申请者的EV SSL将被激活,所有的浏览器指标在申请者的网站上。最重要的指标是在用户的Web浏览器的“绿栅”,这意味着更值得信赖。
为了实惠SSL证书持有者,现今SSL证书以购买SSL证书共同域名将自动获得一个SAN,需符合条规。以下情况将有权获得免费SAN:
当注册公用名为www.regssl.cc, Symantec 将自动附送 regssl.cc 为SAN。
当注册公用名为 regssl.cc, Symantec 将自动附送www. regssl.cc 为SAN。
至于wildcard,当注册公用名为 *. regssl.cc, Symantec 将自动附送 regssl.cc 为SAN。
为了享有此增进服务的特权,当购买证书时合作伙伴需注意不可添加免费SAN在此证书,否则此SAN域名将收费。
以下是我们所提供的证书:
| Symantec | Thawte | GeoTrust |
|---|---|---|
| Secure Site with EV | SSL Web Server with EV | True BusinessID with EV |
| Secure Site Pro | SSL Web Server | True BusinessID Wildcard |
| Secure Site | True BusinessID | |
| Secure Site Pro with EV |
CSR就是Certificate Secure Request证书请求文件。
我们想要证明我们的网站是可信的,数据传输是加密的,我们就需要由CA机构颁发的证书来证明, 而想要申请这样的证书,我们的第一步就是需要生成我们自己的CSR文件。
CSR需要由申请人提供域名、公司名称、部门、省份、城市、国家借助相关工具生成,工具同时会生成证书请求文件和私钥文件,其中的证书请求文件就是CSR文件,这两个文件是相互匹配的,我们将CSR文件提交给CA申请证书,CA对其签发成证书文件, 申请人收到证书文件后,将证书文件配合私钥文件转化成服务器对应的格式的文件部署在HTTP服务器上面,这样我们的网站就可信了。
请浏览支持与服务的技术指南 参考一些生成CSR的方法,CSR生成指南申请人也可联系托管公司或服务器器管理员生成CSR。
新通用顶级域名是以通用词进入互联网世界的域名后缀。作为ICANN的新计划,通用顶级域名将从大约20个扩展至1300多个。
SSL供应商曾批准作为内部伺服器或内联网的通用名/SAN的SSL证书,而其中将包括一些新通用顶级域名。
随着新通用顶级域名的推出,曾经作为内部使用的通用名现在可能作为域名后缀而被注册。因此,现有SSL证书可能含有此类型的域名而不能继续使用。所以,SSL供应商将会撤销此类证书。证书持有人必须申请新的证书以取代现有的证书。
数字证书,是由证书认证机构CA(Certificate Authority)颁发的、并包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息、能提供在互联网上进行身份验证的一种权威性数字文件。数字证书可以说是网络用户的身份证明,就像生活中每个人都拥有一张证明个人身份的证件,在互联网的交往互动中,就可以使用数字证书来证明自己的身份和标识对对方的身份。为了达到这样的目的,数字证书必须有权威性、唯一性、真实性和可靠性。
要保证数字证书的真实性,必须确保该数字证书是由具有权威性的国际CA中心签发的,如Symantec就是这样一家通过Web Trust认证的国际CA。数字证书的颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部分用户身份信息传送给CA。CA在核实用户的身份后,执行一些必要的步骤,以确保请求确实由用户发送而来,然后,CA将数字证书颁发给用户。该证书内包含用户的信息和他的公钥信息,同时还附有CA的签名信息。用户使用CA颁发的数字证书,对需要在网络上传输的信息进行加密、解密、数字签名和数字验证,就可以确保信息的机密性、完整性和不可抵赖性,同时,数字证书中包含的用户信息可以明确的标识出交易实体的身份,保证交易实体身份的真实性,从而保障网络应用的安全性。
数字证书采用公共密钥加密体制(PKI)从技术上解决网上身份认证、电子信息的完整性和不可抵赖性等安全问题,为网络应用(如浏览器、电子邮件、电子交易)提供可靠的安全服务。
- PEM 是CA处下发后的原格式;通常后缀是cer、crt,用文本格式可直接打开阅读编辑。
- JKS是java环境中使用的证书格式,也叫做 java
- keystore格式,通常用jdk中的keytool来维护管理其证书;常见的后缀有jks、keystore。
- pkcs12是标准的密钥对格式,可由openssl来维护管理证书;其常见后缀有pfx,p12等。
- kdb是应用在Ibm http server上的证书格式,由ikeyman维护,不常见。
| 应用服务器 (如tomcat,jboss) |
http服务器 (如Apache,nginx) |
windows系统 (如IIS) |
其他服务器 (如思科) |
|
|---|---|---|---|---|
| PEM | ||||
| JKS | ||||
| PKCS12 |
申请域名型证书时,系统需通过以下方式验证域名的所有权
1.管理员邮箱验证
系统会向你选择的管理员邮箱 发送验证邮件,能够收到验证邮件并点击邮件中验证链接即可完成验证。
域名管理员邮箱须符合以下任意规则:
- 域名 whois 管理联系人邮箱
- 域名 whois 技术联系人邮箱
- 默认2级域名管理员前缀的邮箱:
admin@domainname.tld
administrator@domainname.tld
hostmaster@domainname.tld
webmaster@domainname.tld
postmaster@domainname.tld - 默认3级域名管理员前缀的邮箱:
admin@www.domainname.tld
administrator@www.domainname.tld
hostmaster@www.domainname.tld
webmaster@www.domainname.tld
postmaster@www.domainname.tld - 其他邮箱:
support_preprod@geotrust.com
2.DNS验证
通过解析指定的DNS记录验证域名所有权
例如 domainname.tld TXT “201703041624564ftcm9x61iibj5za5zhlq4hm784fxda6coopwxkqoscuacuzuz”
系统会定时检查 domainname.tld 的 TXT 纪录,若能检测到并且与指定的值匹配,那就即可完成域名所有权验证。
3.文件验证
通过在域名根目录下创建指定的文件验证域名所有权 例如:创建文件 fileauth.txt 文件内容 201703090514595dzoag8l5l09ouoh3cvnr4hgw4vj9z5k7l4ff34tryfd65namo
系统会定时尝试访问
https://domainname.tld/.well-known/pki-validation/fileauth.txt 或者
http://domainname.tld/.well-known/pki-validation/fileauth.txt 这个文件,若能访问到 并且内容匹配即可完成域名所有权验证。
SHA2算法的兼容性
SHA2算法已经被认为是数字证书的默认的签名算法。
| 支持的版本 | & 需要的系统 | |
|---|---|---|
| Office | office2007+ | vista+ |
对 32 位 或 64 位用户模式(.exe、.cab、.dll、.ocx、.msi、.xpi 和 .xap 文件)和内核模式软件进行数字签名,则是看系统,下面列举:
| 操作系统 | 应用身份验证 | 内核模式 | VB宏(office2003,07,10下) | VB宏(office2013) |
|---|---|---|---|---|
| Windows8 | 支持 | 支持 | 不支持 | 支持 |
| Windows7 | 支持 | 不支持 | 不支持 | 支持 |
| Windows vista | 支持 | 不支持 | 不支持 | 无 |
| Windows xp sp3 | 支持 | 不支持 | 不支持 | 无 |
| Win Server 2012 | 支持 | 支持 | 不支持 | 支持 |
| Win server 2008 | 支持 | 不支持 | 不支持 | 支持 |
| Win server 2003 | 支持 | 不支持 | 不支持 | 无 |
注:重点红色标注,驱动开发注意sha2的支持。
对于ssl服务器证书
对于sha2首先要通信双方支持,即浏览器和服务器支持,再者有些浏览器和系统使用相同的加密库,那么当加密库不支持的时候,即系统和及其通信端都不支持。所以,要支持sha2证书,必须系统和通讯端(浏览器或者服务器)都支持。
首先列举系统:
| 操作系统 | 支持SSL证书最低版本 |
|---|---|
| Android(安卓) | 2.3+ |
| 苹果ios(常见于ipad和iphone) | 3.0+ |
| 黑莓 | 5.0+ |
| Mac os(常见于苹果电脑) | 10.5+ |
| Windows | xp sp3+ |
| Windows phone | 7+ |
| Windows服务器系统 | 2003 sp2+补丁 |
注:windows xp3补丁和2003 sp2上的补丁可以到 这里下载
下面是浏览器
| 浏览器 | 最小支持版本 |
|---|---|
| Chrome | 26+ |
| Firefox(火狐) | 1.5+ |
| IE(微软自带的) | 6+ |
| Safari | 3+ |
| Opera | 9.0+ |
下面是服务器
| 运行ssl协议的设备 | 最小支持版本 |
|---|---|
| 基于开源软件openssl的 | openssl 0.9.8o+ |
| 基于java的设备 | jre1.4.2+ |
| Apache | 2.0.63+w(而且基于openssl) |
| F5(负载均衡设备) | 10.1.0+ |
| IHS(ibm http server) | 8.5+ |
| JBOSS/Wildfly(jboss8) | 见基于java的设备 |
| Jetty | 见基于java的设备 |
| Nginx(基于openssl) | 见基于openssl |
| Tenginx(淘宝改nginx,基于openssl) | 见基于openssl |
| Tomcat | 见基于java的设备 |
| Oracle wallet | 11.2.0.1+ |
| Resin | 见基于java的设备 |
| Weblogic | 10.3.1+ |
| SonicOS | 5.9.0.0+ |
| Websphere | 7.0.1.4 |
注:这里只列举了较多见的设备,不常见的可联系设备商详细咨询。