SSL 证书简单说就是遵守 SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。
身份认证是通过域名和组织(企业)两方面进行的,认证不分时间先后,可以先做域名认证再做组织,反之亦然。
域名认证
1、管理员邮箱
证书颁发机构CA会往管理员邮箱发送一封验证邮件,您收到邮件后无需回复只需要点击approve即可完成验证。管理员邮箱指的是客户在注册域名时填写的邮箱,除了管理员邮箱还有其他邮箱也可以认证域名。
例如:您申请证书时绑定的域名是abc.com,那么下面的这些邮箱都可用来认证域名所有权。
admin@abc.com
administrator@abc.com
hostmaster@abc.com
postmaster@abc.com
webmaster@abc.com2、DNS解析
需要您在域名注册商平台添加一条TXT解析记录,记录值由证书颁发机构CA以邮件方式发到证书申请人的邮箱
3、文件验证
a、CA以邮件方式将验证随机字串符发到证书申请人邮箱 ;
b、 需要您保存随机字串符为 fileauth.txt 文本文件 ;
c、 联系站点网站的运维人员获取服务器的操作权限
d、 进 入 站 点 的 网 站 应 用 目 录 的 根 目 录 下 创 建 指 定 的 验 证 文 件 路 径 , 在 根 目 录 下 创 建 /.well-known/pki-validation/fileauth.txt 目录,并将 fileauth.txt 文件上传,可以使用 mkdir 命令来创 建.well-know 文件夹。
e、 测试访问: http(s)://abc.com/.well-known/pki-validation/fileauth.txt
当您访问链接能看到CA给您提供的随机字符串时表示验证成功
组织验证(DV证书除外)
证书申请人需向CA提供营业执照,事业单位法人证书,组织机构代码证等能证明单位真实身份的法定证件,再次基础上还需要第三方公示的电话或者邮箱验证组织身份。
第三方公示的电话和邮箱是指最新的企业年度报告公示的电话和邮箱以及企业在114登记的电话。
具体验证过程是CA会拨打电话或者发邮件方式和证书申请人确认其身份(姓名,手机号,邮箱以及单位名称),确认后在域名验证通过的基础上一般当天最晚次日即可签发证书啦!
以上就是SSL证书签发前需要经过的认证流程,如有问题欢迎大家指正!
