上一篇
https那个证书号云
https证书号即SSL证书序列号,在浏览器地址栏锁定图标查证书详情,或
HTTPS证书核心信息解析
证书编号(Serial Number)
定义
由CA机构分配的全球唯一标识符,用于区分不同证书。格式特征
- 通常为十六进制字符串(如
04AA1234567890ABCDEF1234)。 - 长度范围:一般16-64字符(取决于CA规则)。
- 示例:
- Let’s Encrypt:
00000000000000000000000000000012 - DigiCert:
1234567890ABCDEF1234567890ABCDE
- Let’s Encrypt:
- 通常为十六进制字符串(如
作用
- 唯一标识证书,防止重复颁发。
- 配合CA的CRL/OCSP服务实现证书吊销验证。
证书链与颁发机构
| 层级 | 描述 |
|---|---|
| 根证书 | 自签名证书,含CA的公钥和基本信息(如ISRG Root X1)。 |
| 中间证书 | 连接根CA与终端证书的桥梁(可选,提升安全性)。 |
| 终端证书 | 直接绑定域名的证书,包含域名、公钥、有效期等核心信息。 |
示例证书链:服务器证书 → 中间证书 → 根证书
主域名与子域名证书管理
| 类型 | 特点 | 证书号关联性 |
|---|---|---|
| 通配符证书 | 覆盖.example.com及所有子域名 | 单一证书号,管理简化 |
| 单域名证书 | 仅绑定example.com或www.example.com | 需为每个子域单独申请证书号 |
| 多域名证书(SAN) | 支持多个主域名(如a.com+b.com) | 同一证书号,通过Subject Alt Name扩展 |
证书号查询与验证
通过浏览器查看
点击地址栏锁图标 → 查看“证书详细信息” → 找到“序列号”字段。
使用命令行工具
# 提取证书序列号(以nginx为例) openssl x509 -in /etc/nginx/cert.pem -noout -serial
CA机构验证
访问CA的在线验证工具(如https://crl.digicert.com/),输入证书号查询状态。
证书更新与吊销流程
| 操作 | 影响 |
|---|---|
| 正常续订 | 生成新证书号,旧证书加入CRL(证书吊销列表) |
| 手动吊销 | 立即加入CA黑名单,浏览器提示“不安全” |
| 自动更新 | 依赖ACME协议(如Let’s Encrypt)自动续签,证书号周期性变化 |
相关问题与解答
Q1:HTTPS证书的序列号(证书号)是否全局唯一?
A:是的,CA机构通过数学算法确保每个证书的序列号在全球范围内唯一,避免冲突,但不同CA之间的序列号可能重复(如Let’s Encrypt与GlobalSign各自独立编号)。
Q2:过期的HTTPS证书号还能被重新启用吗?
A:不能,证书过期后,原证书号会被标记为失效,需重新生成新证书并分配新号,若需恢复,需向CA申请续订或
