阿里云SSL证书选购指南
- 阿里云SSL证书分为几类?怎么分的?
- 阿里云SSL证书如何选购?
- 阿里云SSL证书不得不看的官网文档!
阿里云SSL证书分为几类?怎么分的?
阿里云目前在售的SSL证书根据不同的验证级别,分为以下三类:
1.域名型SSL(DV SSL),全称是”Domain Validation SSL“也就是域名验证类型的SSL证书
2.企业型SSL(OV SSL),全称是”Organization Validation SSL“也就是企业组织验证类型的SSL证书
3.增强型SSL(EV SSL),全称是”Extended Validation SSL“也就是增强验证类型的SSL证书
这三种证书的验证级别也是有宽松严格之分的,其中,DV SSL证书审核最为宽松,只验证域名所有权(非所有DV类型证书),数小时内即可颁发证书。其次为OV SSL证书,申请此证书需验证域名所有权和申请单位的真实身份,解决在线信任问题。最为严格的是EV证书,申请EV型证书会严格验证域名所有权和申请单位的真实身份。且EV证书证书在大部分浏览器中能显示绿色地址栏,,有效解决在线信任和网站被假冒问题。
阿里云目前在售的SSL证书根据保护域名的数量需求,又分为:
1.单域名版:只保护一个域名,例如 b.a.com 或者 d.a.com 之类的单个域名。
2.多域名版:一张证书可以保护多个域名,例如同时保护 a.b.com , b.c.com, abc.abc.com 等。
3.通配符版:一张证书保护同一个主域名下同一级的所有子域名,不限个数,形如X.a.com,便可以保护a.a.com、b.a.com、c.a.com等等,但是不能保护a.a.a.com,虽然都同属于一个一级域名,但是这个子域名属于a.com域名下的3级子域名,而X.a.com证书,只能保护a.com域名下的所有2级域名,3级、4级等其他级别的域名都不会进行保护。在阿里云SSL证书在售列表里,通配符版只有 DVSSL 和 OVSSL 具有, EVSSL 不具有通配符版本。
阿里云目前在售的SSL证书根据证书厂商,又分为:
1.Symantec:
赛门铁克(Symantec)是全球第一大数字证书颁发机构、全球最值得信赖的SSL证书品牌,所有证书都采用业界领先的加密技术,为不同的网站和服务器提供安全解决方案。
2.CFCA:
中国金融认证中心(CFCA)通过国际WebTrust认证,遵循全球统一鉴证标准,是国际CA浏览器联盟组织成员。CFCA全球信任SSL证书,由中国权威数字证书认证机构自主研发,纯国产证书。CFCA提供 7x24 小时金融级的安全保障服务,且有完善的风险承保计划。提供中文版全球信任体系电子认证业务规则(CPS),便于用户理解双方权利和义务。
3.GeoTrust:
GeoTrust 是全球第二大数字证书颁发机构, 也是身份认证和信任认证领域的领导者,采用各种先进的技术使任何大小的机构和公司都能安全、低成本地部署SSL数字证书和实现各种身份认证。
4.GlobalSign:
GMO GlobalSign是全球最早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。博主建议:选择国外品牌的话,建议选择Symantec或是GeoTrust,选择国内品牌的话,可以选择CFCA,据博主了解,目前国内各大金融银行体系的网站都必须选择CFCA的证书。
阿里云SSL证书如何选购?
相信看完上一节的介绍,大家对阿里云的SSL证书有了基本的了解,OK,对于证书的选购,我们直接进行实战,下面有请我们的阿里云购买页面:
可以看出,阿里云的SSL证书购买界面也是分为三层
第一层:选出证书类型
首先,需要购买者选出适合自己的证书类型,在DV、OV、EV三种类型中选择,在文章的开头分别介绍了三种类型的证书,这里,我们详细讲一下,怎么根据自己的需求购买证书。
DV型证书,审核最为宽松,适合个人站点用户进行购买。优点是审核流程简单,审核流程无人工干预,用户按照订单中的进度进行配置和验证,审核内容Symantec只审核域名管理,GeoTrust审核企业营业执照,且几个小时内便可颁发证书。缺点就是加密复杂度和安全级别低。需要注意的是,DV类型的SSL证书在阿里云上只有Symantec和GeoTrust两个厂商在售卖。
OV型证书,适合企业网站使用。优点是加密复杂度和安全级别高,缺点是审核流程为人工审核,需要等待3-5个工作日才能版发证书。需要注意的是,CFCA厂商的OV类型的SSL证书需要提交申请表、授权书、企业营业执照、经办人身份证。其他三个厂商仅需提供企业营业执照即可。
EV型证书,审核最为严格,适合金融类、电商类、支付类业务场景使用(涉及钱的事,都不是小事),人工审核周期也是最长的,需要等待5-7天才能颁发证书。审核内容:申请Symantec EV ssl 证书需要提供企业营业执照和银行开户许可证。申请GeoTrust EV ssl需要提供企业营业执照。申请CFCA EV ssl需要提供申请表、授权书、企业营业执照、经办人身份证、律师函、律师证。而GlobalSign不提供EV类型证书的售卖。EV类型的SSL证书,优点是加密复杂度和安全级别最高,缺点是审核严格,颁证周期长,且证书价格昂贵。需要注意的是,Symantec厂商的EV类型的SSL证书在阿里云上有服务器IP限制,只能支持一个IP。如果有多个服务器建议购买多个证书。
OK,刚刚我们详细介绍了不同厂商售卖的不同类型证书如何选购,不知道大家有没有注意,我们对不同类型的SSL证书的优点概括只有审核内容、颁发时间、加密程度的对比,这些对比只针对于证书购买人,那对于每一个浏览我们网站的终端用户来讲,不同类型的SSL证书有何区别呢?用户在浏览网站时,一个较为高级的证书能否增强用户浏览体验?当然能!
DV SSL数字证书部署在服务器上后,用户浏览器访问网站时,展示如下:
OV SSL数字证书部署在服务器上后,用户浏览器访问网站时,展示如下:
EV SSL数字证书部署在服务器上后,用户浏览器访问网站时,展示如下:
不多说,上图大家看,当EV型SSL证书的绿色地址栏显示出来时,任何言语都是无力的,颜值即正义。
第二层:选出证书厂商
当我们根据自身网站的情况和需求选出适合自己的证书类型后,需要选择在哪个厂商下进行购买
目前,阿里云售卖SSL证书的厂商只有四家
1.CFCA
2.Symantec
3.GeoTrust
4.GlobalSign
四家的基本信息,上文有过介绍,这里不在复述。需要注意的是:
CFCA厂商不在阿里云售卖DV类型的SSL证书,GlobalSign厂商不在阿里云售卖DV类型和EV类型的SSL证书。
阿里云上签发的Symantec证书,在原有OV、EV基础上,推出了增强型OV、增强型EV证书。增强型与专业版OV及高级版EV的区别主要在于增强型OV、增强EV支持ECC椭圆加密算法。(研究表明,160位的椭圆密钥与1024位的RSA密钥安全性相同。)
Symantec厂商售卖的高级版EV SSL证书和增强型EV SSL只支持一个IP,如果有多个服务器建议购买多个证书。
从需要提供审核的资料来看,CFCA厂商需要提供的审核资料较多和复杂,而GeoTrust厂商在售的四种类型的SSL证书都只需提供企业营业执照进行审核即可。
第三层:选出域名类型
在这一层,我们需要根据自己的域名情况进行选择单个域名证书、多个域名证书还是通配符域名证书
在这一层,阿里云SSL证书售卖控制台只为我们提供了三种选择,分别是:
1.一个域名:购买的证书只能为一个域名进行保护,例如: b.a.com 或者 d.a.com 之类的单个域名。各个明细子域名都算一个域名。
2.多个域名:保护多个明细域名,例如:a.b.com , b.c.com, abc.abc.com 等。上述三个明细子域名计算为三个域名。
3.通配符域名:购买的证书保护同一个主域名下同一级的所有子域名,不限个数,形如X.a.com,便可以保护a.a.com、b.a.com、c.a.com等等,但是不能保护a.a.a.com,虽然都同属于一个一级域名,但是这个子域名属于a.com域名下的3级子域名,而X.a.com证书,只能保护a.com域名下的所有2级域名,3级、4级等其他级别的域名都不会进行保护。
需要注意的是:
在阿里云SSL证书在售列表里,通配符版只有 DVSSL 和 OVSSL 具有, EVSSL 不具有通配符版本。
当我们域名类型选择多个域名时,最低3个起买。阿里云SSL证书不得不看的官网文档!
敲黑板!敲黑板!敲黑板!敲黑板!敲黑板!
敲黑板!敲黑板!敲黑板!敲黑板!敲黑板!
敲黑板!敲黑板!敲黑板!敲黑板!敲黑板!
俗话说,技术练的好,官网文档少不了
在Nginx/Tengine服务器上安装证书
在Apache服务器上安装SSL证书
在Tomcat服务器上安装SSL证书
在IIS服务器上安装证书
阿里云SSL证书到期续费
选配阿里云SSL证书
阿里云SSL证书提交审核
