SSL证书的工作机制

近年来，网络安全对于互联网的发展越来越重要。迄今，HTTP明文协议纷纷转向HTTPS加密协议，因为HTTPS中的SSL证书是互联网最简单最快捷的网络安全解决方案。SSL证书中的SSL是指安全套接字层（secure soket layer），可对客户端与服务端之间的信息进行加密，确保两者之间的信息安全。

当用户通过浏览器访问已部署SSL证书的网站时，浏览器会自动识别SSL证书的类型，然后SSL证书就会为WEB服务端和浏览器搭建安全的链接（会话）。这个过程被称为“SSL握手”，SSL握手是瞬间发生，用户是无法查看的，也无需用户干预。

SSL证书的工作涉及三个密钥，分别是：公共密钥、私人密钥和会话密钥。其中公钥加密的数据只能用匹配的私钥才能解密，反之亦然。公钥和私钥都是配对存在，我们也称其为非对称秘钥对。

一般情况，使用私钥和公钥对真实进行加密解密需要消耗较大的进程，因此在SSL握手期间会用它来创建对称会话密钥。建立安全连接后，会话密钥用于加密所有的传输数据，因为对称秘钥加密数据的效率要远远高于非对称秘钥。

SSL证书的功能

SSL证书具有2个重要功能

1）SSL加密，允许用户安全地通过互联网传输数据

2）身份验证，验证服务器是否安全合法。

服务器浏览器通信 – 了解SSL证书的工作原理

当用户访问SSL安全网站时，

浏览器尝试连接该SSL加密网站。

然后浏览器要求Web服务器识别自己。

为了识别，服务器将SSL证书的副本发送到浏览器。

现在浏览器分析证书并验证是否信任它。

如果浏览器信任该证书，则会向服务器发送消息

之后，启动SSL加密会话，服务器会发回一个数字签名确认给浏览器。

浏览器和服务器之间共享的数据正在加密，并出现HTTPS以及相关的安全标识。

如何启用HTTPS加密？

获取SSL证书：

首先，启用HTTPS加密必须具备SSL证书。SSL证书的类型有三种（1）域验证（2）组织验证（3）扩展验证。服务器用户可根据自身需求向数字证书颁发机构（CA）申请合适的SSL证书类型。

生成CSR和私钥：选定SSL证书类型后，下一步就是生成CSR和私钥。CSR是指证书签名请求，可通过CA机构提供的CSR工具或服务器管理工具中的CSR工具生成。在CSR生成过程中需要填写正确的信息，就可获得编码（加密）格式的CSR文件和私钥。然后将CSR包含了服务器信息和单位信息，提交给CA机构。而私钥保存在服务器或本地驱动器上的安全位置。

域名验证：CSR和私钥生成后，证书将要求申请人提交多个相关文件进行验证。一般情况下域名验证，验证过程将通过电子邮件或上传文件来检查域名注册商的信息来完成。

组织验证（OV），扩展验证（EV）和代码签名证书：相关的业务文档验证是强制性的。申请这些证书时，用户需要提交数字证书颁发机构要求的文档。核实后，如果文件符合CA的要求，则可获取证书。

注意：CA所需的文档可能会从一个权限更改为另一个权限。

SSL安装：申请的相关资料被CA机构验证无误后，CA将会为申请者颁发相关的SSL证书。申请者可根据服务器系统类型安装SSL证书。本站也提供向SSL证书服务器安装指南，详情请查看SSL证书部署指南

当服务器正确安装SSL证书后，网站就可启动HTTPS。当访问者通过浏览器访问SSL加密网站时，就会与WEB服务器建立安全链接。

如何在浏览器中查找网站已部署SSL证书的标识？

域验证SSL（DV）证书  – 使用DV SSL证书保护的网站将只显示带绿色锁定的HTTPS。

组织验证SSL（OV）证书  – 使用OV SSL证书进行安全保护的SSL证书将显示带有绿色锁定的HTTPS，并在网站印章中显示商业信息。

扩展验证SSL （EV）证书 – 使用EV SSL证书的网站将显示HTTPS，绿色地址栏以及URL中的组织名称，并且商业信息也将显示在网站印章中。