SSL证书介绍与使用

简介:

网络中http协议的数据是明文传输的,这就产生了机密敏感数据在传输过程中被窃取的危险。尤其日益流行的网上支付,钓鱼网站和用户冒名严重损害用户财产和利益。所以网络安全必须解决数据传输的加密,服务网站和用户的认证。基于SSL的http协议https解决了传输加密和服务网站认证的手段,用户认证也可以通过用户数字证书得以解决。根据百付宝网站的应用经验,下面主要介绍SSL在服务端(https)的应用。

SSL数字证书介绍与使用
背景
网络中http协议的数据是明文传输的,这就产生了机密敏感数据在传输过程中被窃取的危险。尤其日益流行的网上支付,钓鱼网站和用户冒名严重损害用户财产和利益。所以网络安全必须解决数据传输的加密,服务网站和用户的认证。基于SSL的http协议https解决了传输加密和服务网站认证的手段,用户认证也可以通过用户数字证书得以解决。根据百付宝网站的应用经验,下面主要介绍SSL在服务端(https)的应用。

SSL数字证书介绍
HTTPS实际上应用了Netscape的完全套接字层(SSL)作为HTTP应用层的子层,SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持,其工作流程可以查询资料。
SSL数字证书是在第三方CA机构严格审核注册的,用于SSL安全会话期间服务网站身份识别的加密序列文件,基于非对称密钥体制,序列文件中包含了公私钥以及一些通过审核认证的注册信息。最著名的两个SSL CA机构是verisign和globalsign,提供SSL数字证书的审批签发,并提供了对其颁发的数字证书因为证书问题造成安全损失的资金索赔,他们自己首先是世界机构许可和信任的。
SSL数字证书是作为web server的一个功能组件部署的,几乎常用的web server都支持SSL,比如lighttpd, apache, tomcat等。下面将以apache为例介绍。
SSL证书根据其加密强度分为支持型(40bit强度)和强制型(128bit),此两种又分为普通型和EV型(enhanced version)。相比,EV版本经过最彻底的身份验证,确保证书持有组织的真实性,绿色地址栏将显示组织名称,从而最大限度上确保网站的安全性,树立网站可信形象。这些类型的证书申请使用和安装方式基本一致。

SSL数字证书的申请注册
首先确保申请者和网站的真实性,向CA机构的代理方提交申请,制作生成CSR(certificate signature request), CA机构审核申请者和申请机构的信息,根据提交的CSR生成经过认证的SSL证书文件签发给申请组织。
在自己玩的时候可以自己伪造一个CA机构,当然只有你自己认可,这些都可以通过openssl开源工具进行管理。Openssl是一个管理SSL和CA的强大工具,在SSL证书申请的过程中是需要使用该工具的某些功能。
产品应用的SSL证书申请制作过程如下:
1, 生成私钥,并保存好,证书安装的时候需要。

 

-des3是加密类型,-out server.key为私钥的保存文件,1024为密钥长度。
过程中需要你设定密码,这个密码是在下面制造CSR和启动web server加载SSL证书读取私钥时候需要的密码。
2,生成CSR
现在就可以利用刚才生成的私钥制作CSR,-key server.key是上一步生成的私钥文件,-out server.csr为将要生成CSR的文件名。第一步需要提供刚开始设定的密码,然后一步一步提供需要的信息(必须真实,CA机构需要严格审查)。
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />



3,向第三方提交生成的CSR,第三方CA机构走严格的审核流程,确认真实性后授权SSL证书,邮件的方式返回文本的SSL证书内容(包含了密文格式的证书公钥和注册信息),保存为server.crt。

SSL数字证书在apache上的部署
首先apache必须编译对SSL的支持模块。
需要在httpd.conf中增加如下配置:
#ServerSignature on
SSLEngine on
SSLSessionCache shm:/abc/ssl_gcache_data(512000)
SSLCertificateFile /abc/keys/server_vip.pem
SSLCertificateChainFile /abc /keys/ca_vip.pem

其中SSLCertificateFile指定的是pem格式的证书文件位置,该文件由授权签发的server.crt和对应的私钥文件server.key组合而成:
Cat server.crt server.key > server_vip.pem
SSLCertificateChainFile指定的是被信任的第三方CA机构的证书文件CertificateChain(CA机构会提供,也是公开的,可以去官网找),每个CA机构有唯一的CertificateChain,其实也就是CA机构的身份证书,类似我们被授权的server.crt,不同的是这些CA机构的证书是被各主流浏览器集成信任的。普通版本的SSL证书只有1级CertificateChain, EV版本证书有2级CertificateChain,这2级CertificateChain是被拼接在同一个文件中(ca_vip.pem)。

SSL数字证书查看
Web server部署好证书,重启web server就可以提供基于SSL的https服务了。
‘企业版百付宝’使用的是verisign的EV强制型SSL证书,见截图,可以看到EV版证书的green bar,让用户感觉到网站的安全可信。点击green bar能够提示网站更丰富的机构信息。




通过点击‘更多信息’,了解更为详细的证书详情和证书链的情况。

 














本文转自百度技术51CTO博客,原文链接:http://blog.51cto.com/baidutech/748265 ,如需转载请自行联系原作者
相关文章
|
10月前
|
安全 应用服务中间件 网络安全
部署SSL证书
部署SSL证书
690 5
云大使推广奖励—云气值提现规则(包含企业/个人)
云大使推广奖励计—云气值是阿里云大使计划中的积分单位,可用于兑换现金和其他权益,100云气等值于1元人民币。个人与企业用户均可参与云大使推广,但提现流程有所不同。个人用户需绑定支付宝并扣税,而企业用户需完善账户信息并绑定对公账户,上传符合要求的发票后方可提现且抵税。更多详情及规则,请访问云大使官网及管理平台获取。
云大使推广奖励—云气值提现规则(包含企业/个人)
|
10月前
|
存储 人工智能 数据处理
无影云个人版,免费领取你的AI云电脑!
无影云个人版,利用先进的云计算技术,为用户提供全新的AI云电脑体验。无论是远程办公、数据处理还是视频会议,只需互联网接入即可享受无缝办公体验
641 11
|
9月前
|
Ubuntu 安全 Linux
openSSH升级
【10月更文挑战第2天】本文介绍了如何升级 OpenSSH 的步骤。首先,通过不同命令检查当前系统中的 OpenSSH 版本;其次,备份配置文件以防升级时丢失;然后,在 Debian/Ubuntu 和 CentOS/RHEL 系统中分别执行不同的命令进行升级;最后,验证升级后的版本并检查服务状态,解决兼容性问题,并考虑新的安全特性。
1029 3
|
11月前
|
人工智能 安全 Cloud Native
首个!阿里云联合中国石油大学(北京)举办油气大模型创新大赛
首个!阿里云联合中国石油大学(北京)举办油气大模型创新大赛
235 7
|
11月前
|
搜索推荐 安全 网络协议
如何免费申请SSL证书并保护您的网站
通过使用 SSL 证书,您可以保护您的网站并提高用户的信任度,同时提升在搜索引擎中的排名
180 0
|
11月前
|
开发者
《全网寻找最强种草达人》获奖名单公布啦!
《全网寻找最强种草达人》获奖名单公布啦!
279 0
|
开发者
寻找种草达人|TOP 5 种草排行榜
《全网寻找最强种草达人》获奖名单公布啦!
7792 8
|
传感器 机器学习/深度学习 人工智能
多模态大模型
多模态大模型
672 1
|
存储 缓存 监控
构建高效的Java缓存策略
【4月更文挑战第18天】本文探讨了如何构建高效的Java缓存策略,强调缓存可提升系统响应和吞吐量。关键因素包括缓存位置、粒度、失效与更新策略、并发管理、序列化及选择合适库(如Ehcache、Guava Cache、Caffeine)。最佳实践包括明确需求、选择合适解决方案、监控调整及避免常见陷阱。缓存优化是一个持续过程,需根据需求变化不断优化。
190 5