上一篇
https服务器证书
HTTPS服务器证书由权威CA颁发,确保加密传输与身份验证,浏览器信任,防劫持改动,地址栏显示安全
HTTPS服务器证书详解
核心概念与原理
HTTPS(Hypertext Transfer Protocol Secure)基于SSL/TLS协议实现安全通信,通过数字证书建立服务器身份认证和加密传输通道,证书由可信第三方机构(CA)签发,包含公钥、持有者信息、有效期等核心数据,用于客户端验证服务器真实性。
证书类型与分级
| 类型 | 验证等级 | 特点 | 适用场景 |
|---|---|---|---|
| DV SSL(域名验证) | 仅验证域名所有权 | 10分钟-数小时签发 | 个人博客、测试环境 |
| OV SSL(组织验证) | 企业实名认证 | 1-3工作日 | 企业官网、电商平台 |
| EV SSL(扩展验证) | 严格企业审查 | 3-5工作日 | 金融、政府机构 |
证书颁发机构(CA)
- 根CA:浏览器预置信任的顶级机构(如DigiCert、GlobalSign)
- 中间CA:为减轻根CA负担产生的二级证书链
- 自签名证书:无CA背书,存在安全风险(浏览器会警告)
证书申请流程
- 生成密钥对:2048位RSA或ECDSA算法
- 创建CSR:包含公钥+组织信息的待签请求
- CA验证:
- DV:DNS解析/邮箱验证
- OV:企业资质审查
- EV:法律实体+地址实地验证
- 下载证书包:含中级证书链文件
- 服务器配置:
- Apache:修改ssl.conf配置
- Nginx:server块添加cert/key路径
- IIS:导入证书到网站绑定
关键参数说明
| 参数名称 | 作用 | 推荐值 |
|---|---|---|
| Key Length | 加密强度 | 2048位以上 |
| Signature Hash | 证书签名算法 | SHA256+ECDSA |
| San(Subject Alternative Name) | 多域名支持 | 包含www子域及主域 |
| Certificate Transparency | 公开审计日志 | 必须启用 |
常见错误处理
- NET::ERR_CERT_COMMON_NAME_INVALID:证书域名与访问域名不匹配
- SSL_PROTOCOL_ERROR:协议版本不兼容(需启用TLS1.2+)
- PR_END_OF_FILE_ERROR:证书链不完整,缺少中间证书
维护注意事项
- 提前60天续订证书(使用Certbot等工具自动更新)
- 私钥严格保密(建议使用硬件安全模块HSM存储)
- 定期清理过时CA证书(防止CRL吊销检查失效)
相关问题与解答
Q1:免费证书(如Let’s Encrypt)与付费证书有何本质区别?
A1:主要差异在验证流程和企业服务:①免费证书仅限DV类型,付费可申请OV/EV;②免费证书有效期90天,付费通常2年;③付费证书提供保险赔付和技术支持,适合商业场景。
Q2:为什么自签名证书不被浏览器信任?
A2:自签名证书缺乏CA链背书,浏览器无法验证其合法性,虽然能实现加密传输,但无法证明服务器真实身份,存在中间人攻击风险,故会被标记为不安全
