SSL/TLS是一個(gè)密碼學(xué)協(xié)議，它的目標(biāo)并不僅僅是網(wǎng)頁(yè)內(nèi)容的加密傳輸。SSL/TLS的主要目標(biāo)有四個(gè)：加密安全、互操作性、可擴(kuò)展性和效率。對(duì)于安全性的保障，它還會(huì)從多個(gè)方面進(jìn)行，包括機(jī)密性，真實(shí)性以及完整性。機(jī)密性是指，傳輸?shù)膬?nèi)容不被除通信的雙方外的第三方獲?。徽鎸?shí)性是指，通信的對(duì)端正是期待的對(duì)端，而不是其它第三方冒充的；完整性則是指，傳輸?shù)臄?shù)據(jù)是完整的，數(shù)據(jù)沒(méi)有被篡改或丟失。為了平衡多種需求，SSL/TLS被設(shè)計(jì)為一個(gè)安全框架，其中可以應(yīng)用多種不同的安全方案，每種方案都由多個(gè)復(fù)雜的密碼學(xué)過(guò)程組成。不同的安全方案，在安全性和效率之間有著不同的取舍，并由不同的密碼學(xué)過(guò)程組成。

在密碼學(xué)上，非對(duì)稱(chēng)加密具有更高的安全性，同時(shí)計(jì)算復(fù)雜度更高，性能更差；而對(duì)稱(chēng)加密，則效率比較高，計(jì)算復(fù)雜度較低，但如果在通信過(guò)程中明文傳輸密鑰，或?qū)⒚荑€以hard code的形式寫(xiě)在代碼里，則安全隱患比較大。

從密碼學(xué)過(guò)程的特性出發(fā)，整體來(lái)看，SSL/TLS連接是在會(huì)話(huà)協(xié)商階段，通過(guò) 非對(duì)稱(chēng)加密 算法，如RSA、ECDHE等，完成身份驗(yàn)證，及后續(xù)用到的對(duì)稱(chēng)加密密鑰的交換；在整個(gè)數(shù)據(jù)傳輸階段，通過(guò)對(duì)稱(chēng)加密算法，如AES、3DES等，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密；通過(guò)數(shù)據(jù)散列算法，如SHA1、SHA256等，計(jì)算數(shù)據(jù)的散列值并隨應(yīng)用數(shù)據(jù)一起發(fā)送，以保證數(shù)據(jù)的完整性。

本文主要描述非對(duì)稱(chēng)加密的基本思想，及TLS的證書(shū)身份認(rèn)證。

非對(duì)稱(chēng)加密

非對(duì)稱(chēng)加密 (asymmetric encryption) 又稱(chēng)為公鑰加密 (public key cryptography)，是使用兩個(gè)密鑰，而不像對(duì)稱(chēng)加密那樣使用一個(gè)密鑰的加密方法；其中一個(gè)密鑰是私密的，另一個(gè)是公開(kāi)的。顧名思義，一個(gè)密鑰用于非公開(kāi)的私人的，另一個(gè)密鑰將會(huì)被所有人共享。

非對(duì)稱(chēng)加密的兩個(gè)密鑰之間存在一些特殊的數(shù)學(xué)關(guān)系，使得密鑰具備一些有用的特性。如果利用某人的公鑰加密數(shù)據(jù)，那么只有他們對(duì)應(yīng)的私鑰能夠解密。從另一方面講，如果某人用私鑰加密數(shù)據(jù)，任何人都可以利用對(duì)應(yīng)的公鑰解開(kāi)消息。 后面這種操作不提供機(jī)密性，但可以用作數(shù)字簽名。

非對(duì)稱(chēng)加密保護(hù)數(shù)據(jù)安全

盜用阮一峰老師的幾幅圖來(lái)說(shuō)明，通過(guò)非對(duì)稱(chēng)加密保護(hù)數(shù)據(jù)安全的過(guò)程。

• 鮑勃有兩把鑰匙，一把是公鑰，另一把是私鑰。

• 鮑勃把公鑰送給他的朋友們----帕蒂、道格、蘇珊----每人一把。

  
  

• 蘇珊要給鮑勃寫(xiě)一封不希望別人看到的保密的信。她寫(xiě)完后用鮑勃的公鑰加密，就可以達(dá)到保密的效果。

  
  

• 鮑勃收到信后，用私鑰解密，就可以看到信件內(nèi)容。

  
  

對(duì)于非對(duì)稱(chēng)加密，只要私鑰不泄露，傳輸?shù)臄?shù)據(jù)就是安全的。即使數(shù)據(jù)被別人獲取，也無(wú)法解密。

非對(duì)稱(chēng)加密的這些特性直擊對(duì)稱(chēng)加密中只用一個(gè)密鑰，而該密鑰不方便傳輸、保存的痛點(diǎn)。它大大方便了大規(guī)模團(tuán)體的安全通信，方便了安全通信在互聯(lián)網(wǎng)中的應(yīng)用。

非對(duì)稱(chēng)加密生成數(shù)字簽名

數(shù)據(jù)的加密安全只是數(shù)據(jù)安全的一個(gè)方面，數(shù)據(jù)的真實(shí)性同樣非常重要。經(jīng)?？梢钥吹竭@樣的案例，騙子在同學(xué)參加四、六級(jí)考試的時(shí)候，給同學(xué)的家長(zhǎng)打電話(huà)或發(fā)短信，聲稱(chēng)自己是學(xué)校的輔導(dǎo)員，并表示同學(xué)病重急需用錢(qián)，要求家長(zhǎng)匯錢(qián)，同學(xué)家長(zhǎng)匯錢(qián)給騙子而遭受巨大損失的情況。這就是數(shù)據(jù)/信息真實(shí)性沒(méi)有得到足夠驗(yàn)證而產(chǎn)生的問(wèn)題。

再比如，一個(gè)仿冒的taobao網(wǎng)站，域名與真實(shí)的網(wǎng)站非常相似。我們一不小心輸錯(cuò)了域名，或域名被劫持而訪(fǎng)問(wèn)了這個(gè)仿冒的網(wǎng)站，然后像平常在taobao購(gòu)物一樣，選擇寶貝，并付款，但最后卻怎么也收不到貨物。

現(xiàn)實(shí)世界中，常常會(huì)請(qǐng)消息的發(fā)送者在消息后面簽上自己的名字，或者印章來(lái)證明消息的真實(shí)可靠性，如信件中的簽名，合同中的印章等等。類(lèi)似地，在虛擬的網(wǎng)絡(luò)世界中，也會(huì)通過(guò)數(shù)字簽名來(lái)確認(rèn)數(shù)據(jù)的真實(shí)可靠性。數(shù)字簽名依賴(lài)的主要算法也是非對(duì)稱(chēng)加密，生成數(shù)字簽名主要是使用私鑰加密 數(shù)據(jù)的散列摘要 來(lái)簽名。

通過(guò)幾幅圖來(lái)說(shuō)明這個(gè)過(guò)程。

• 鮑勃給蘇珊回信，決定采用"數(shù)字簽名"來(lái)證明自己的身份，表示自己對(duì)信件的內(nèi)容負(fù)責(zé)。他寫(xiě)完后先用散列函數(shù)，生成信件的摘要 （digest）。???? ?

  ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??

  
  

• 然后，鮑勃使用自己的私鑰，對(duì)這個(gè)摘要加密，生成"數(shù)字簽名"（signature）。

  
  

• 鮑勃將這個(gè)簽名，附在信件下面，一起發(fā)給蘇珊。

  

  
  

• 蘇珊收到信后，取下數(shù)字簽名，用鮑勃的公鑰解密，得到信件的摘要。

  
  

• 蘇珊再對(duì)信件本身應(yīng)用散列函數(shù)，將得到的結(jié)果，與上一步得到的摘要進(jìn)行對(duì)比。如果兩者一致，則證明這封信確實(shí)是鮑勃發(fā)出的，信件完整且未被篡改過(guò)。

? ? ? ? ? ? ? ? ? ??

如果鮑勃向蘇珊借了錢(qián)，并用上面這樣的過(guò)程寫(xiě)信給蘇珊確認(rèn)自己收到了錢(qián)，那么鮑勃就再也不能抵賴(lài)了——信件的末尾可是清清楚楚地簽著鮑勃的大名呢。

如果我們的網(wǎng)絡(luò)世界能像上圖的過(guò)程那樣，每個(gè)人都可以方便地獲得可靠的公鑰，那就太美好了?；ヂ?lián)網(wǎng)上的網(wǎng)站成千上萬(wàn)，每個(gè)人都走到自己要訪(fǎng)問(wèn)的網(wǎng)站站長(zhǎng)的辦公室把網(wǎng)站的公鑰拷走，或者網(wǎng)站站長(zhǎng)挨個(gè)走到自己的目標(biāo)用戶(hù)家門(mén)口，把自己網(wǎng)站的公鑰交給用戶(hù)，那可就太麻煩，代價(jià)太大了。

公鑰通常都是通過(guò)網(wǎng)絡(luò)傳輸?shù)?。不懷好意的人，?huì)試圖干擾這個(gè)傳輸過(guò)程，將自己偽造的公鑰發(fā)送給用戶(hù)，進(jìn)而破壞后續(xù)整個(gè)數(shù)據(jù)傳輸?shù)陌踩?。如果用?hù)拿到的是偽造的公鑰，那簽名也就形同虛設(shè)。

如道格想欺騙蘇珊，他在鮑勃將公鑰交給蘇珊時(shí)攔住鮑勃，表示要替鮑勃轉(zhuǎn)交。正好鮑勃有老板交待的其它重要事情要完成，于是就把自己的公鑰交給道格請(qǐng)他幫忙轉(zhuǎn)交。但道格把鮑勃的公鑰丟進(jìn)垃圾桶，而把自己的公鑰交給了蘇珊。此時(shí)，蘇珊實(shí)際擁有的是道格的公鑰，但還以為這是鮑勃的。因此，道格就可以冒充鮑勃，用自己的私鑰做成"數(shù)字簽名"，寫(xiě)信給蘇珊，讓蘇珊用假的鮑勃公鑰進(jìn)行解密。

證書(shū)

證書(shū)正是為了解決公鑰的信任問(wèn)題而引入。證書(shū)體系通過(guò)引入可信的第三機(jī)構(gòu)，稱(chēng)為 證書(shū)簽發(fā)機(jī)構(gòu)（certificate authority，簡(jiǎn)稱(chēng)CA），為公鑰做認(rèn)證，來(lái)確保公鑰的真實(shí)可靠。證書(shū)是經(jīng)過(guò)了 CA 私鑰簽名的 證書(shū)持有者的公鑰、身份信息及其它相關(guān)信息 的文件，用戶(hù)通過(guò) CA 的公鑰解密獲取證書(shū)中包含的 證書(shū)持有者 的公鑰。只要 CA 的私鑰保持機(jī)密，通過(guò)證書(shū)驗(yàn)證 證書(shū)持有者 的身份，及獲取公鑰的過(guò)程就可靠。

證書(shū)的工作過(guò)程

互聯(lián)網(wǎng)PKI證書(shū)體系的結(jié)構(gòu)如下圖：

證書(shū)訂閱人 ，也就是需要提供安全服務(wù)的人，向 證書(shū)中心 (CA) 的代理—— 登記機(jī)構(gòu) 提交自己的公鑰來(lái)申請(qǐng)證書(shū)。 登記機(jī)構(gòu) 對(duì) 證書(shū)訂閱人 的身份進(jìn)行核實(shí)，然后向 證書(shū)中心 (CA) 提交 證書(shū)訂閱人 的公鑰及身份信息。 證書(shū)中心 (CA) 用自己的私鑰，對(duì) 證書(shū)訂閱人 的公鑰、身份信息和其它一些相關(guān)信息進(jìn)行加密，生成 "數(shù)字證書(shū)"（Digital Certificate） ，并發(fā)送給 登記機(jī)構(gòu)。 登記機(jī)構(gòu) 將證書(shū)發(fā)送給 證書(shū)訂閱人 。 證書(shū)訂閱人 將證書(shū)部署在Web服務(wù)器上。 信賴(lài)方，即安全服務(wù)的用戶(hù)，維護(hù) CA 根證書(shū)庫(kù)，并在與Web服務(wù)器通信時(shí)，從服務(wù)器獲得證書(shū)。 信賴(lài)方 用CA根證書(shū)驗(yàn)證接收到的證書(shū)的有效性，進(jìn)而驗(yàn)證服務(wù)器的真實(shí)性。

同樣通過(guò)幾幅圖來(lái)說(shuō)明這個(gè)過(guò)程。

• 鮑勃去找證書(shū)簽發(fā)機(jī)構(gòu)，為公鑰做認(rèn)證。證書(shū)中心用自己的私鑰，對(duì)鮑勃的公鑰、身份信息和一些其它相關(guān)信息一起加密，生成"數(shù)字證書(shū)"（Digital Certificate）。

  

  
  

• 鮑勃拿到數(shù)字證書(shū)以后，就可以放心，以后再也沒(méi)人能冒充自己了。再需要發(fā)送自己的公鑰給朋友們時(shí)，只要把自己事先拿到的 數(shù)字證書(shū) 發(fā)送給朋友就可以了。需要寫(xiě)信給蘇珊時(shí)，照常附上自己的數(shù)字簽名即可。

  
  

• 蘇珊收到信后，用CA的公鑰解開(kāi)數(shù)字證書(shū)，就可以拿到鮑勃真實(shí)的公鑰，然后就能證明"數(shù)字簽名"是否真的是鮑勃簽的。

  
  

證書(shū)里有什么

PKI證書(shū)是 抽象語(yǔ)法表示一 (Abstract syntax notation one, ASN.1) 表示， 基本編碼規(guī)則 (base encoding rules, BER) 的一個(gè)子集 唯一編碼規(guī)則 (distinguished encoding rules, DER) 編碼的二進(jìn)制文件。我們通?？吹降淖C書(shū)則是DER使用Base64編碼后的ASCII編碼格式，即 PEM (Privacy-enhanced mail) 這種更容易發(fā)送、復(fù)制和粘貼的編碼格式的純文本文件。

證書(shū)里到底都有些什么呢？這里我們通過(guò)一個(gè)實(shí)際的證書(shū)來(lái)看一下。我們可以通過(guò)openssl解碼數(shù)字證書(shū)，獲得證書(shū)的可讀形式：

$ openssl x509 -in chained.pem -text -nooutCertificate: ? ?Data: ? ? ? ?Version: 3 (0x2)? ? ? ?Serial Number: ? ? ? ? ? ?03:5c:25:82:1d:c2:b2:2f:6f:73:39:48:9c:68:07:1b:48:2d? ?Signature Algorithm: sha256WithRSAEncryption ? ? ? ?Issuer: C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3? ? ? ?Validity? ? ? ? ? ?Not Before: Oct 25 01:12:00 2016 GMT? ? ? ? ? ?Not After : Jan 23 01:12:00 2017 GMT ? ? ? ?Subject: CN=www.wolfcstech.com? ? ? ?Subject Public Key Info:? ? ? ? ? ?Public Key Algorithm: rsaEncryption? ? ? ? ? ? ? ?Public-Key: (4096 bit)
Modulus:
 ? ? ? ? ? ? ? ? ? ?00:c3:92:70:78:ff:00:0a:22:c7:14:0b:3d:b3:26:
 ? ? ? ? ? ? ? ? ? ?34:cb:37:63:26:1d:d6:42:7b:5c:ab:51:cc:f7:12:
 ? ? ? ? ? ? ? ? ? ?57:26:b1:d1:4f:5f:a7:02:5b:3c:f3:e6:e1:ec:7c:
 ? ? ? ? ? ? ? ? ? ?66:61:ba:d8:5e:d6:61:60:48:d6:d3:4c:23:9a:50:
 ? ? ? ? ? ? ? ? ? ?75:4b:2d:1b:89:7d:7b:55:2f:12:63:b4:ac:c7:b5:
 ? ? ? ? ? ? ? ? ? ?d1:44:95:ed:a2:f4:9d:ee:77:3c:2b:06:48:d9:18:
 ? ? ? ? ? ? ? ? ? ?21:d1:ee:cf:5c:26:ad:c2:11:28:9c:27:65:11:94:
 ? ? ? ? ? ? ? ? ? ?c4:1d:0f:5e:4c:4f:00:71:cf:5d:1f:40:4b:9a:5e:
 ? ? ? ? ? ? ? ? ? ?3b:b0:42:45:c5:68:01:62:29:c2:92:b5:ad:8d:13:
 ? ? ? ? ? ? ? ? ? ?11:db:7e:02:65:14:6a:5d:4b:66:16:08:d4:ab:90:
 ? ? ? ? ? ? ? ? ? ?dc:06:28:27:cd:84:c0:b7:30:22:ff:54:71:c2:3b:
 ? ? ? ? ? ? ? ? ? ?8d:7d:8b:52:c3:a8:f1:ee:63:42:2a:dd:4d:a7:70:
 ? ? ? ? ? ? ? ? ? ?66:c5:c3:54:d5:8e:a1:e2:02:d0:8b:2f:f6:44:1d:
 ? ? ? ? ? ? ? ? ? ?f5:f2:85:fd:49:c7:e0:d7:d0:ae:21:b7:25:ae:7c:
 ? ? ? ? ? ? ? ? ? ?15:dc:56:51:45:f1:e7:19:d6:1c:95:2c:65:f7:34:
 ? ? ? ? ? ? ? ? ? ?2c:67:1c:93:00:81:a7:e2:23:da:1a:3c:d1:9f:84:
 ? ? ? ? ? ? ? ? ? ?5e:01:3f:71:e7:9c:cd:e0:4f:fc:db:a6:2f:33:3a:
 ? ? ? ? ? ? ? ? ? ?3d:ce:6d:52:72:47:0b:08:9c:04:1f:4a:cd:cd:71:
 ? ? ? ? ? ? ? ? ? ?db:c2:3f:0d:9c:b4:24:ca:25:06:49:2b:40:a7:96:
 ? ? ? ? ? ? ? ? ? ?b6:60:b7:8d:c7:b0:b4:84:96:06:63:3b:d9:0c:25:
 ? ? ? ? ? ? ? ? ? ?8d:af:ad:90:ce:b8:d5:c6:e6:28:28:bd:4b:72:92:
 ? ? ? ? ? ? ? ? ? ?28:1a:0a:b7:15:3c:28:26:15:ab:fc:88:22:74:50:
 ? ? ? ? ? ? ? ? ? ?77:cc:3d:a3:c8:be:83:14:3d:ca:0e:79:aa:71:66:
 ? ? ? ? ? ? ? ? ? ?56:b8:6f:fe:2a:2d:36:ff:0c:af:b9:61:5c:5b:5f:
 ? ? ? ? ? ? ? ? ? ?a4:cc:0a:5b:13:31:c9:16:3f:51:9c:19:56:dd:06:
 ? ? ? ? ? ? ? ? ? ?1d:c9:6f:f6:17:61:61:7b:4c:cb:aa:b9:92:52:25:
 ? ? ? ? ? ? ? ? ? ?9b:8f:02:2d:51:39:5f:f0:89:e2:e8:25:6f:04:2a:
 ? ? ? ? ? ? ? ? ? ?d3:6f:a3:3e:a7:44:a8:a1:db:01:55:ad:1d:3f:72:
 ? ? ? ? ? ? ? ? ? ?3a:9a:b7:0f:35:a3:de:d2:93:d7:7c:d6:12:66:b2:
 ? ? ? ? ? ? ? ? ? ?f9:da:c4:e3:e6:52:6f:55:07:5c:a2:57:0d:7a:ca:
 ? ? ? ? ? ? ? ? ? ?20:5a:59:1b:78:ba:cf:e2:1d:b3:33:0a:53:2e:26:
 ? ? ? ? ? ? ? ? ? ?9f:39:2f:ec:48:8b:9f:a0:b9:e8:e6:61:9b:89:34:
 ? ? ? ? ? ? ? ? ? ?59:02:07:bb:b4:c4:8d:1d:24:72:ea:1e:7c:5f:a9:
 ? ? ? ? ? ? ? ? ? ?a3:96:15:e9:4d:7e:4c:94:eb:cb:af:d2:70:83:78:
 ? ? ? ? ? ? ? ? ? ?be:36:eb
 ? ? ? ? ? ? ? ?Exponent: 65537 (0x10001)
 ? ? ? ?X509v3 extensions:
 ? ? ? ? ? ?X509v3 Key Usage: critical
 ? ? ? ? ? ? ? ?Digital Signature, Key Encipherment
 ? ? ? ? ? ?X509v3 Extended Key Usage: 
 ? ? ? ? ? ? ? ?TLS Web Server Authentication, TLS Web Client Authentication
 ? ? ? ? ? ?X509v3 Basic Constraints: critical
 ? ? ? ? ? ? ? ?CA:FALSE
 ? ? ? ? ? ?X509v3 Subject Key Identifier: 
 ? ? ? ? ? ? ? ?B8:27:0E:D4:47:BB:27:66:51:3B:E7:F9:8B:9C:48:2E:3D:FD:C8:97
 ? ? ? ? ? ?X509v3 Authority Key Identifier: 
 ? ? ? ? ? ? ? ?keyid:A8:4A:6A:63:04:7D:DD:BA:E6:D1:39:B7:A6:45:65:EF:F3:A8:EC:A1

 ? ? ? ? ? ?Authority Information Access: 
 ? ? ? ? ? ? ? ?OCSP - URI:http://ocsp.int-x3.letsencrypt.org/
 ? ? ? ? ? ? ? ?CA Issuers - URI:http://cert.int-x3.letsencrypt.org/

 ? ? ? ? ? ?X509v3 Subject Alternative Name: 
 ? ? ? ? ? ? ? ?DNS:wolfcstech.cn, DNS:wolfcstech.com, DNS:www.wolfcstech.cn, DNS:www.wolfcstech.com
 ? ? ? ? ? ?X509v3 Certificate Policies: 
 ? ? ? ? ? ? ? ?Policy: 2.23.140.1.2.1
 ? ? ? ? ? ? ? ?Policy: 1.3.6.1.4.1.44947.1.1.1
 ? ? ? ? ? ? ? ? ?CPS: http://cps.letsencrypt.org
 ? ? ? ? ? ? ? ? ?User Notice:
 ? ? ? ? ? ? ? ? ? ?Explicit Text: This Certificate may only be relied upon by Relying Parties and only in accordance with the Certificate Policy found at https://letsencrypt.org/repository/

 ? ?Signature Algorithm: sha256WithRSAEncryption
 ? ? ? ? 46:a1:fb:1c:fe:6e:ef:af:fc:84:e3:7e:20:1d:c8:0c:0b:e4:
 ? ? ? ? d2:4b:9e:f6:bc:e5:31:59:08:bb:7e:0d:74:3f:e6:de:39:58:
 ? ? ? ? e2:f4:fa:bf:5c:26:86:96:19:8f:00:13:17:2b:4f:95:c4:bd:
 ? ? ? ? 02:ad:cd:a6:e5:80:21:f5:ee:e6:4d:01:86:07:82:37:5e:39:
 ? ? ? ? c9:55:40:ed:08:2e:8d:94:b8:86:2f:15:76:10:bd:97:46:06:
 ? ? ? ? b3:34:80:12:f4:dc:2a:2a:63:80:36:fe:ef:e1:9e:b6:dc:22:
 ? ? ? ? 51:c7:54:46:1a:b2:c5:e8:62:98:90:46:ea:92:8c:fd:d4:dd:
 ? ? ? ? 00:4f:fb:1e:25:24:93:c1:74:15:07:6f:67:d3:be:5b:47:7e:
 ? ? ? ? 18:56:02:01:55:09:fc:bf:7f:ff:27:fc:db:d8:53:55:02:43:
 ? ? ? ? 2e:a0:23:28:01:4d:4d:f9:bc:02:bc:fe:50:c2:67:d7:d4:48:
 ? ? ? ? 23:c2:0b:25:d4:65:e1:8f:3c:75:12:b6:87:b1:17:86:c8:1a:
 ? ? ? ? 26:72:0e:ba:07:92:c4:87:3e:e1:fc:e3:58:ef:a2:23:43:09:
 ? ? ? ? 85:c4:82:00:04:07:49:06:10:bc:fd:20:67:0f:63:f8:ff:bf:
 ? ? ? ? 7f:6f:da:72:77:51:1d:50:34:07:63:e8:68:e3:ef:70:5f:71:
 ? ? ? ? b4:11:9e:27
 ? ? 

可以看到主要包含證書(shū)格式的版本號(hào)；證書(shū)的唯一的序列號(hào)；簽名算法；頒發(fā)者的信息；證書(shū)的有效期；證書(shū)的使用者的信息、身份信息，在這里主要是幾個(gè)域名；證書(shū)使用者的公鑰等等。

Let's Encrypt證書(shū)申請(qǐng)

我們通過(guò)一個(gè) Let's Encrypt 證書(shū)申請(qǐng)過(guò)程對(duì)證書(shū)做更多了解。 Let's Encrypt 是一個(gè)免費(fèi)、自動(dòng)化、開(kāi)放的證書(shū)簽發(fā)機(jī)構(gòu)，目前它已得到了Mozilla，Chrome等的支持，發(fā)展十分迅猛。

證書(shū)申請(qǐng)

Let’s Encrypt 使用ACME協(xié)議驗(yàn)證申請(qǐng)人對(duì)域名的控制并簽發(fā)證書(shū)。要獲取Let’s Encrypt 證書(shū)，需使用ACME客戶(hù)端進(jìn)行。Let’s Encrypt 官方推薦 使用Certbot這個(gè)功能強(qiáng)大，靈活方便的工具，不過(guò)也可以使用其它的ACME客戶(hù)端。

這里我們通過(guò)Certbot申請(qǐng)Let’s Encrypt證書(shū)。

Certbot安裝

對(duì)于在Ubuntu 14.04平臺(tái)上部署nginx提供Web服務(wù)的情況，應(yīng)該使用 certbot-auto 來(lái)安裝：

$?wget?https://dl.eff.org/certbot-auto$?chmod?a+x?certbot-auto

certbot-auto 接收與 certbot 完全相同的標(biāo)記；不帶參數(shù)執(zhí)行這個(gè)命令時(shí)，會(huì)自動(dòng)安裝依賴(lài)的所有東西，并更新工具本身。執(zhí)行如下命令：

$?./certbot-auto

相關(guān)閱讀：非對(duì)稱(chēng)加密與證書(shū)（下篇）

網(wǎng)易云SSL證書(shū)服務(wù)提供云上證書(shū)一站式生命周期管理，與全球頂級(jí)的數(shù)字證書(shū)授權(quán)機(jī)構(gòu)（CA，Certificate Authority）和代理商合作，為你的網(wǎng)站與移動(dòng)應(yīng)用實(shí)現(xiàn) HTTPS 加密部署。

網(wǎng)易云新用戶(hù)大禮包：https://www.163yun.com/gift

本文來(lái)自網(wǎng)易實(shí)踐者社區(qū)，經(jīng)作者韓鵬飛授權(quán)發(fā)布。

本頁(yè)內(nèi)容由塔燈網(wǎng)絡(luò)科技有限公司通過(guò)網(wǎng)絡(luò)收集編輯所得，所有資料僅供用戶(hù)學(xué)習(xí)參考，本站不擁有所有權(quán)，如您認(rèn)為本網(wǎng)頁(yè)中由涉嫌抄襲的內(nèi)容，請(qǐng)及時(shí)與我們聯(lián)系，并提供相關(guān)證據(jù)，工作人員會(huì)在5工作日內(nèi)聯(lián)系您，一經(jīng)查實(shí)，本站立刻刪除侵權(quán)內(nèi)容。本文鏈接:http://jstctz.cn/20416.html