服务器证书的种类有哪些
服务器证书其实是SSL证书的另外一种叫法。SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。具体分类如下:
按照支持域名数量和类型上SSL证书可以分为单域名证书、多域名证书和通配符型证书。
1)单域名SSL证书:根据字面意思很好理解的,就是仅保护一个域名的普通SSL证书,可以是顶级域名也可以是二级域名。
2)多域名SSL证书:也是和字面意思一样,就是可以同时保护多个域名,不管是主域名还是子域名都行,一般可保护2~250个域名,当你有新的域名需要保护时,随时可以添加,如果超过保护数量是需要支付一定的添加费用的,但是比起重新申请一张SSL证书要划算的多,而且还节省了重新审核的时间。
3)通配符SSL证书:它是能够保护一个域名以及该域名的所有下一级域名,有范围上的限制,但是没有数量上的限制,适合拥有大量二级域名的用户。
按照验证方式SSL证书可以分为:DV证书(域名验证型)、OV证书(企业验证型)、EV证书(扩展验证型)。
1)DV SSL证书:亦是域名验证型证书,申请该证书时,CA(证书颁发机构)只需审核域名的所有权即可,整个流程非常简单,无需人工,由系统自动完成。所以时间上是比较快的,一般10分钟左右就能签发,而且价格比较便宜,相对来说等级也是比较低的,适合个人网站及小型组织或企业网站。
2)OV SSL证书:这个是企业验证型,比DV证书的验证要求要高一些。它不仅需要验证域名的所有权,还需要验证企业身份,验证是需提供企业信息和公司营业执照扫描件等资料,都是通过人工审核的,一般需要3-5个工作日才能颁发,价格也相对较高一些,但是安全等级大大的提高了,适合一般组织或中小型企业网站。
3)EV SSL证书:这是目前业界最高安全级别的证书,功能比前两位都强大。如果用户安装了此证书,浏览器不仅会显示绿色的地址栏及https前缀和安全锁的标志,而且还会显示企业名,这个不仅看上去就很高大上,而且真的更安全。当然了,EV SSL证书审核也是最严格的,需要提供企业信息和公司营业执照扫描件等资料以及邓白氏或者律师意见信,CA机构会人工验证组织和电话信息,一般3-7个工作日才能颁发,价格也是相对比较高的,适用于在线交易网站、大型企业或金融、银行等组织。
证书和CA的区别?
CA证书颁发机构:是Windows Server中自带的服务,安装CA服务器成为证书服务器,CA可以颁发证书。
证书:证书服务器生成的一个文件(工具),使用此文件(工具)可以实现加密等功能。
一般来说,推荐去供应商买证书,这样可以全网认,如果是自己颁发的证书,基本只能在DC中使用!
CA证书部署
———————————————————————————————————————
实战:使用CA证书加密网站
1新建一个indexhtml网站
2申请证书
把证书存储到桌面,方便等会申请
打开证书申请网站 http:\\localhost\certsrv
另存为到桌面上
——————————————————————————————————————————————————————————————————————————
3完成或者导入证书
IIS上没有我刚刚新建的flycom这张证书。感觉是这个系统有点问题,不知道咋回事。网上查了下好像是这个版本有问题。所以推荐另一种方法!!!(要是推进不下去就私聊我)
1第一张是CA本身的认证证书,我们申请的第二张证书没有在IIS服务证书里面,所以我这边直接在mms里面导出。
2运行-mms -添加证书组件
导入刚刚导出的证书
4新建网址,通过CA证书进行加密!
参数如图
CA机构属于一个主体,比如:Gworg CA机构,然而CA机构可以颁发各种数字证书,其中包括SSL证书、邮件证书、加密证书、软件数字证书等等。
解释原因:
CA证书,是指CA颁发机构,颁发的数字证书。CA机构主要业务是颁发数字证书。
SSL证书属于数字证书的一种,用于HTTPS加密协议。
解决办法:Gworg CA机构获得SSL证书。
你好!
CA证书
CA证书就是电子商务认证授权机构,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前,证书的格式和验证方法普遍遵循X509 国际标准。
自颁发证书
由服务器自己颁发给自己,用于证明自己身份的东西,非权威颁发机构发布,默认客户端都是不信任的,在如下情形中,一张证书是自颁发证书而不是自签证书:CA在进行密钥更替时,可能会存在两个密钥对(新密钥对和旧密钥对),可能会存在用新私钥签发旧公钥或用旧私钥签发新公钥的情形,如此形成的证书是自颁发证书,却不是自签证书。
自签证书
自签证书是一种由签名实体发布给自身的证书,即发布者和证书主体相同
CA 证书,顾名思义,就是CA机构颁发的数字证书。人人都可以找工具制作证书。所谓认证机构(CA,Certificate Authority),是采用公开密钥基础技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构。CA的作用类似于我们现实生活中颁发证件的机构,如身份证办理机构等。
数字证书是目前国际上最成熟并广泛应用的信息安全技术。数字证书以密码学为基础,采用数字签名、数字信封、时间戳服务等技术,在Internet上建立起有效的信任机制。它主要包含证书所有者的信息、证书所有者的公开密钥和证书颁发机构的签名等内容。通俗而言,数字证书就是个人或单位在网络上的身份证。
CA证书的作用:
作用一,验证你打开的HTTPS网站是不是可信
作用二,验证你所安装的文件是不是遭到篡改
目前大多数知名的公司或组织机构发布的可执行文件(比如软件安装包、驱动程序、安全补丁),都带有数字签名。建议大家在安装软件之前,都先看看是否有数字签名,如果有,就按照上述步骤验证;如果数字签名无效,建议你还是别装了,会有安全隐患。
HTTPS 全称 HTTP over TLS/SSL(TLS 就是 SSL 的新版本 31)。TLS/SSL 是在传输层上层的协议,应用层的下层,作为一个安全层而存在,翻译过来一般叫做传输层安全协议。对 HTTP 而言,安全传输层是透明不可见的,应用层仅仅当做使用普通的 Socket 一样使用 SSLSocket 。TLS 是基于 X509 认证,他假定所有的数字证书都是由一个层次化的数字证书认证机构发出,即 CA。另外值得一提的是 TLS 是独立于 HTTP 的,使用了 RSA 非对称加密,对称加密以及 HASH 算法,任何应用层的协议都可以基于 TLS 建立安全的传输通道,如 SSH 协议。
为了解决上述问题,引入了一个第三方,也就是上面所说的 CA(Certificate Authority):
CA 用自己的私钥签发数字证书,数字证书中包含 A 的公钥。然后 B 可以用 CA 的根证书中的公钥来解密 CA 签发的证书,从而拿到 A 的公钥。那么又引入了一个问题,如何保证 CA 的公钥是合法的呢?答案就是现代主流的浏览器会内置 CA 的证书。
现在大多数 CA 不直接签署服务器证书,而是签署中间 CA,然后用中间 CA 来签署服务器证书。这样根证书可以离线存储来确保安全,即使中间证书出了问题,可以用根证书重新签署中间证书。另一个原因是为了支持一些很古老的浏览器,有些根证书本身,也会被另外一个很古老的根证书签名,这样根据浏览器的版本,可能会看到三层或者是四层的证书链结构,如果能看到四层的证书链结构,则说明浏览器的版本很老,只能通过最早的根证书来识别
那么实际上,在 HTTPS 握手开始后,服务器会把整个证书链发送到客户端,给客户端做校验。校验的过程是要找到这样一条证书链,链中每个相邻节点,上级的公钥可以校验通过下级的证书,链的根节点是设备信任的锚点或者根节点可以被锚点校验。那么锚点对于浏览器而言就是内置的根证书啦(注:根节点并不一定是根证书)。校验通过后,视情况校验客户端,以及确定加密套件和用非对称密钥来交换对称密钥。从而建立了一条安全的信道。
数字证书:是由CA机构颁发的证明(也就是问题中提及的CA证书),它包含了公钥、公钥拥有者名称、CA 的数字签名、有效期、授权中心名称、证书序列号等信息。我们可以通俗的理解为数字证书是个人或企业在网络上的身份证。
在使用数字证书的过程中应用加密技术,能够实现:
身份认证:在网络中传递信息的双方互相不能见面,利用数字证书可确认双方身份,而不是他人冒充的。
保密性:通过使用数字证书对信息加密,只有接收方才能阅读加密的信息,从而保证信息不会被他人窃取。
完整性:利用数字证书可以校验传送的信息在传递的过程中是否被篡改过或丢失。
防抵赖:利用数字证书进行数字签名,可准确标示签名人身份及验证签名内容,因此签名人对签名及签名内容具有不可否认性,其作用与手写签名具有同样的法律效力
服务器证书就是ssl证书,就像身份证、护照、驾照的电子副本,部署在服务器上,认证网站身份和信息加密用的。
SSL证书一般由权威的CA机构颁发,国内的像GDCA,可以申请各大品牌的ssl证书,看你需要来选择。
0条评论