SSL配置详解

什么是SSL证书

SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。SSL证书就是遵守 SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能

SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了),即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露。保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。数位签名又名数字标识、签章 (即 Digital Certificate,Digital ID ),提供了一种在网上进行身份验证的方法,是用来标志和证明网路通信双方身份的数字信息文件,概念类似日常生活中的司机驾照或身份证相似。 数字签名主要用于发送安全电子邮件、访问安全站点、网上招标与投标、网上签约、网上订购、安全网上公文传送、网上办公、网上缴费、网上缴税以及网上购物等安全的网上电子交易活动。

SSL证书链包含哪些内容

我们通常所说的CA证书,其实是指有CA签发的证书,所以在一个SSL证书中我们可以看到1到多个CA,一个是根CA,另外的是中间CA,最后是我们被授权的域名,请看图(查看方法:Chrome浏览器点击锁的标志,点击详细信息,点击View Certificate)

简单说明:
VeriSign为顶级CA,一般情况下会预置在我们的系统当中
Symantec Class 3 Secure CA – G4为中间CA,其证书由顶级CA VeriSign签发
我们的域名www.talkingdata.com则由中间CA进行签发

当我们访问一个域名的时候,设备会在自身的系统当中查找此CA是否被信任,如果是不被信任的CA,那么所签发的所有证书都会被拒绝,并返回一个错误,例如著名的12306

NGINX如何配置

其实配置nginx的证书服务非常简单,但是由于客户不明白个中原理,所以给的文件都会有问题,建议条件允许的情况下我们自己操作下载证书文件

当我们购买完证书,大概会得到一个压缩包,其中会包括如下内容:

获取到对应的服务器类型的证书及key(有些不带key,是在购买之前生成的)
解压之后可以放到对应的服务器的目录下面
如果我们解压这个文件其实不难看出:
nginx使用的是ca证书与签发的证书bundle在一起的,域名的证书在最前面,后面跟CA证书(包括中间CA的),而Apache服务器则将CA证书(含中间CA)与域名的证书分开,不同的web服务器对于证书的处理各有不同,需要查看对应web服务器的配置

nginx配置

Apache httpd配置

 

发布者:五月里徜徉的小猫咪

伪技术宅,伪文艺青年

加入对话

1条评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据