SSL证书百科

常见问题

• 问：如何选择SSL证书类型、证书品牌、域名类型？

  答：如何选择证书类型？若您的网站主体为个人(即无企业营业执照)，只能申请免费或DV型数字证书。对于一般企业，建议购买OV及以上类型的数字证书。金融.建议支付企业购买EV证书。移动网站或接口调用，建议您使用OV及以上类型的证书。（DigiCert该品牌的EV证书受到服务器IP的限制。如果您的一个域名有多个主机IP，建议您购买多张数字证书。)如何选择证书品牌？各数字证书品牌兼容性由强到弱的顺序：DigiCert>GeoTrust>CFCA。建议您选择Digicert品牌作为移动网站或接口调用相关应用。域名类型如何选择？1.单域名:单域名是指一个证书只能保护一个主域名或一个子域名或一个公共网络IP。例如，www.ihuyi.com。2.多域名：多域名是指同时绑定多个单域名的证书。这些域名可以是顶级域名或非顶级域名，例如demo.example.com.guide.developer.ihuyi.com等等。一个证书最多支持绑定250个域名。3.通配符域名：通配符域名是指所有与主域名和次级域名相对应的子域名。例如*.ihuyi.com，默认赠送ihuyi.com，*.ihuyi.com可以匹配www.ihuyi.com(下一级子域名).example.ihuyi.com(下一级子域名)等，不支持匹配www.example.ihuyi.com。例如，通配符域名只支持同级匹配*.ihuyi.com支持demo.ihuyi.com，但不支持learn.demo.ihuyi.com。假如你需要支持learn.demo.ihuyi.com通配符域名数字证书还需要购买一张*.demo.ihuyi.com通配符域名证书。多通配符证书是指绑定多个通配符域名的证书。数字证书管理服务只支持申请单个通配符域名的证书，不支持申请多通配符域名的证书。您可以合并多个相同的品牌.生成多通配符证书的类型证书。具体操作请参见证书合并申请。4.混合域名：混合域名证书是指包括单个域名和通配符域名的绑定域名的证书。例如，绑定域名是*.ihuyi.com.demo.example.com，称该证书为混合域名证书。数字证书管理服务不支持混合域名证书的申请。您可以合并多个相同的品牌.类型证书，生成混合域名证书。具体操作请参见证书合并申请。只有域名本身包含在通配符域名的数字证书中。例如：*.ihuyi.com通配符域名数字证书包括ihuyi.com。*.demo.ihuyi.com通配符域名数字证书不包括demo.ihuyi.com。如果在特定域名中填写www域名，则包含主域名本身。例如：www.ihuyi.com域名绑定的数字证书包括ihuyi.com。www.demo.ihuyi.com域名绑定的数字证书不包括demo.ihuyi.com。一旦颁发了您的数字证书，您将无法修改域名信息。

• 问：SSL证书生成流程是什么？

  答：步骤1：生成私钥一般来说，我们使用openSSL工具来生成RSA私钥。说明：生成rsa私钥，des3算法，2048强度，server.Key是一个秘密文件名。注：通常需要至少4位的密码才能生成私钥。步骤2：在CSR生成私钥之后，这时就可以创建csr文件了。这个时候可以有两种选择。理想情况下，证书可以发送给证书颁发机构(SSL证书申请)，签名证书会在CA验证申请人身份后出具。说明：国家、地区、城市、组织、组织单位、CommonName、CommonName、Email。CommonName可以写下自己的名字或域名，如果要支持https，CommonName应与域名一致，否则会引起浏览器警告。步骤3：删除私钥中的密码在创建私钥的第一步中，必须指定密码。但是，这个密码通常会有副作用。这个副作用是Apache每次启动Web服务器都要求重新输入密码，非常不方便。删除私钥中的密码，操作如下:cpserver.keyserver.key.orgopenSSLrsa-inserver.key.org-outserver.key步骤4：生成自签证书假如你不想花钱让CA签名，或只是测试SSL的具体实现。现在就可以开始生成SSL证书了。值得注意的是，在使用自签临时证书时，浏览器会提示证书的颁发机构不得而知。注:crt上有证书持有人信息、持有人公钥、签名人签名等信息。如果用户安装了这个证书，说明大家都信任这个证书，所以也会有公钥，比如服务器认证，客户端认证，或者签其他证书。步骤5：安装私钥和证书将私钥和证书文件复制到Apache的配置目录中，在Mac10.10系统中，将其复制到/etc/apache2/目录就可以了。然后生成SSL证书的步骤就结束了。国内SSL证书市场上有很多品牌，但如果证书安全且不贵的品牌可能不多。建议您关注Positive，RapidSSL，这些证书品牌，如JoySSL。一般而言，价格并不昂贵，而且这些都是由全球权威机构签发的，证书兼容性好，全球可信。JoySSL证书价格优惠，产品安全可信。它提供各种免费的SSL证书，包括单域名、多域名、通配符等。用户可以在购买前申请体验试用。

• 问：如何创建SSL证书？

  答：1：先下载安装Java2：安装完毕后，根据实际路径找到keytool.exe，如我在这里的路径：C:\ProgramFiles(x86)\Java\jdk1.8.0_101\bin\keytool.exe3：生成keystore。打开命令行。（cmd)，去keytool所在的路径，运行keytool-genkey-aliastomcat-stopePKCS12-keyalgRSA-2048年-keystored:\mykeystore\keystore.validity365-extsan=ip:192.168.100.132-dname"CN=garyyan,OU=mycompany,O=mycompany,L=gd,ST=gd,C=china“此命令中间只需输入密码即可生成keystore，假设密码为：123456其中：1)keystore可以理解为一个数据库，可以存储多组数据。每组数据主要包括以下两种数据：a:密钥实体（Keyentity）——密钥（secretkey）或私钥和配对公钥(不对称加密)b:可信的证书实体（trustedcertificateentries）——只包含公钥2）-keystored:\mykeystore\keystore.p12，指定在d:\mykeystore(首先，手动创建此文件夹)，生成keystore:keystore.p123）-aliastomcat，指示keystore中唯一的别名：tomcat，因为keystore中可能还有其他的别名，比如：tomcat24)-storePKCS12指示密钥仓库类型为PKCS125）-keyalgRSA，指定加密算法，本例采用通用RAS加密算法6)-keysize2048指定密钥的长度为20487)-validity3650指定证书有效期为3650天8）-extsan=ip:请根据您的服务器IP地址设置192.168.100.132，如果不设置，客户端在访问时可能会报错9）-dname“CN=garyyan,OU=mycompany,O=mycompany,L=gd,ST=gd,C=china”其中：”CN=(姓名与姓氏)，OU=(组织单位名称)，O=(组织名称)，L=(城市或区域名称)，ST=(州或省名)，C=(单位两字母国家代码)”，我在测试过程中发现随便填就行了4：导出公钥证书(主要用于客户端)：运行命令：keytool-export-keystored:\mykeystore\keystore.p12-aliastomcat-filemycer.cer-storepass123466其中：1）-keystored:\mykeystore\keystore.P12是指上面的keystore文件2)-aliastomcat是指定别名为tomcat的组3）-filemycer.当前目录生成的cer指定为mycer.cer证书4)-storepass123456是生成keystore所用的密码

热门SSL证书产品推荐

证书等级	DV（域名级）SSL证书	OV（企业级）SSL证书
适用场景	个人网站、企业测试	中小企业的网站、App、小程序等
验证级别	验证域名所有权	验证企业/组织真实性和域名所有权
HTTPS数据加密
浏览器挂锁
搜索排名提升
单域名证书	¥ 150 /年   ¥ 400 /3年 立即购买	¥ 720 /年   ¥ 2000 /3年 立即购买
通配符证书	¥ 550 /年   ¥ 1500 /3年 立即购买	¥ 1500 /年   ¥ 4200 /3年 立即购买