本文面向那些希望更好地理解SSL证书以及它们如何为公共Internet和企业Intranet连接提供安全性的人。

      特别是，目的是让您对安全套接字层（SSL）协议和证书有一个完整的概述，以帮助您做出有关证书管理的最佳决策。

       数字证书是SSL协议的核心；它们启动服务器（如网站、内部网或VPN）和客户端（如web浏览器、应用程序或电子邮件客户端）之间的安全连接。

       SSL证书提供了足够的保护，防止仿冒和窃听传输以及服务器（如网站域）的自动身份验证。

       如果一个网站要求用户提供敏感信息，它需要有一个SSL证书来在传输过程中加密这些信息。

       如果没有SSL证书，则不应使用任何私有信息信任该连接。

       SSL证书包含有关证书所有者的信息，例如：

       电子邮件地址

       业主名称

       证书使用

       有效期

       资源位置

       可分辨名称（DN）

       通用名（CN）

       认证机构签字

       它还为客户端提供公钥，以便在与服务器建立安全连接时对信息进行加密。证书从不包含私钥，因为只有证书所有者才应该知道此信息。

        二、如何获得SSL证书？

       SSL证书最关键的组成部分是一个公开可信的第三方的数字签名，该签名用于验证组织的身份。

       三个最著名的证书颁发机构——Symantec、GoDaddy和DigiCert——迄今已颁发了超过75%的所有SSL证书，但全世界有数百个公开可信的CA在运行。

        SSL证书是以定期订阅可信证书颁发机构的形式付费（通常）签署和颁发的。有许多SSL证书供应商可供选择。您的选择取决于您的安全需求、预算和正在运行的网站。

       三、SSL证书多少钱？

       使用基本的CA签名SSL证书保护单个域名几乎没有成本。但是，对于全面的业务和域保护，SSL认证的成本从每年150美元以上到2000美元以上不等。

       SSL证书通常带有一个保证。该保证的作用类似于保险，并在财务上保护您在证书颁发机构端出错，例如颁发的证书不正确或SSL协议的灾难性故障。根据您购买的SSL证书，保修金额从0美元到175万美元不等。

       四、SSL证书是如何工作的？

       当您收到SSL证书时，您可以在服务器上安装它。您可以安装一个中间证书，通过将SSL证书链接到CA的根证书来建立其可信度。

       根证书是自签名的，是基于X.509的公钥基础设施（PKI）的基础。

       支持HTTPS安全浏览和电子签名方案的PKI依赖于一组根证书。

       在X.509证书的其他应用中，证书的层次结构证明证书的颁发的有效性。

       这种层次结构被称为“信任链”

        1、信任链

        信任链指的是您的SSL证书及其到可信证书颁发机构的链接。

        要使SSL证书受信任，它必须追溯到受信任的根CA。

        信任链确保所有相关方的隐私、信任和安全。

        每个PKI的核心是根CA；它充当整个系统的可信完整性源。

       根证书颁发机构对SSL证书进行签名，从而启动信任链。

       如果根CA是公共信任的，那么所有主要的internet浏览器和操作系统都会信任链接到根CA的任何有效CA证书。

        中间CA（又称从属CA或颁发CA）是将最终证书链接到根证书的后续证书，其中链中的每个证书都由前面的CA签名。

        需要中级证书

        对于公共受信任的CA，CA/浏览器论坛的基线要求禁止直接从根CA颁发最终实体证书，根CA必须保存在脱机设备（如硬件安全模块（HSM））中。

        在建立信任链时，正确配置根证书和中间证书至关重要。如果根CA的私钥受到损害，则会使根证书和所有中间证书不可信。因此，中间CA的主要功能是颁发终端实体服务器证书；这创建了管理SSL证书的能力，而无需根CA的直接操作。

       如果中间证书受损，那么根CA只需要撤销中间证书及其任何从属证书，然后创建一个新证书以重新启动链。因此，当根CA在脱机存储中受到保护时，中间CA提供额外的安全级别，从而保持系统的完整性。

        2、如何验证信任链？

       客户端或浏览器天生就知道少数受信任ca的公钥，并使用这些密钥来验证服务器的SSL证书。客户端对信任链中的每个证书递归地重复验证过程，直到将其追溯到根CA的开头。

       五、SSL证书的作用是什么？

       在不安全的HTTP连接中，黑客可以很容易地截获客户端和服务器之间的消息，并以纯文本形式读取它们。加密的连接会扰乱通信，直到客户端可以用另一个会话密钥对其进行解密。

       当安装在web服务器上时，SSL证书使用公钥/私钥对系统来启动HTTPS协议，并为用户和客户端连接启用安全连接。

       对于互联网：SSL证书对网站有什么作用？

       当签名的SSL证书保护网站时，它将证明该组织已向受信任的第三方验证并验证其身份；由于浏览器信任CA，因此浏览器现在也信任该组织的身份。

       检查网站是否安装了SSL的最简单方法是查看您的浏览器；查看网站URL是否以“HTTPS:”开头，这表明它是否在服务器上安装了SSL证书。如果是，请单击地址栏中的挂锁图标以查看证书信息。

       Web浏览器使用超文本传输协议（HTTP）连接到默认情况下侦听TCP端口80的Web服务器。

       HTTP是一种纯文本协议，这意味着黑客相对容易截取和读取传输中的数据，对于任何需要保密的应用程序来说，它都是不够的。

       SSL使用端口号443，对浏览器和服务器之间交换的数据进行加密，并对用户进行身份验证。

       因此，当web浏览器和服务器之间的通信需要安全时，浏览器会自动切换到SSL，也就是说，只要服务器安装了SSL证书。

       与具有由可信CA签名的证书的服务器建立连接时，用户不会遇到其他困难。当互联网用户访问SSL安全的网站时，他们更愿意提交他们的联系信息或用信用卡购物。

      此外，在你的网站上有一个SSL证书增加了你的排名位置，使用户和客户更容易找到你的网站。

      SSL证书不仅证明了网站的可靠性，而且有了更先进的证书，整个公司也可以通过SSL认证。

       对于内部网：SSL证书对企业环境中的应用程序有什么作用？

       尽管SSL的最初用途是用于万维网，但企业使用SSL证书来保护各种内部和外部连接。

       六、企业SSL证书最常见的用例包括：

       网络访问控制

       虚拟专用网（VPN）

       单一登录

       物联网

       如果配置正确，所有这些应用程序都运行在SSL协议之上。我们将在下一节中更详细地了解这些示例：

       1、网络接入

       将无线设备连接到公司网络的员工需要易于访问，同时，网络必须防止未经授权访问公司资源。

       员工可以使用SSL证书访问和加密设备、公司服务器甚至云服务器中的文件，以供批准的个人使用。

       2、单一登录

      今天的企业员工可以使用各种各样的身份服务或联合产品。企业通常使用Web单点登录产品来提供对企业门户或云服务中所有资源的访问。

       3、物联网

       可以在您的物联网设备和用户的设备或应用程序中安装数字标识，以确保只有受信任的物联网设备可以连接到您的网络，并确保物联网设备接受授权应用程序的指令或向授权应用程序发送数据，并且用户拥有数字标识。

       4、SSL VPN

       安全套接字层虚拟专用网络（SSL VPN）是使用安全套接字层（SSL）创建的虚拟专用网络（VPN），IT部门可以扩展解决方案及其所需的基础设施服务。

       SSL VPN支持对企业web应用程序的托管应用程序访问进行细粒度控制。

       SSL VPN最显著的好处可能来自于通过允许远程访问所有数字证书来释放IT资源所获得的效率和生产力。

       5、代码、文档和电子邮件签名