SSL證書百科

常見問題

• 問：CA認證是什么？

  答：CA認證，即電子認證服務，是指為電子簽名相關方提供真實性和可靠性驗證的活動。證書頒發(fā)機構（CA,CertificateAuthority）也就是說，頒發(fā)數字證書的機構。是負責發(fā)放和管理數字證書的權威機構，作為電子商務交易中值得信賴的第三方，負責檢驗公鑰系統(tǒng)中公鑰的合法性，并承擔對應責任。

• 問：如何創(chuàng)建SSL證書？

  答：1：先下載安裝Java2：安裝完畢后，根據實際路徑找到keytool.exe，如我在這里的路徑：C:\ProgramFiles(x86)\Java\jdk1.8.0_101\bin\keytool.exe3：生成keystore。打開命令行。（cmd)，去keytool所在的路徑，運行keytool-genkey-aliastomcat-stopePKCS12-keyalgRSA-2048年-keystored:\mykeystore\keystore.validity365-extsan=ip:192.168.100.132-dname"CN=garyyan,OU=mycompany,O=mycompany,L=gd,ST=gd,C=china“此命令中間只需輸入密碼即可生成keystore，假設密碼為：123456其中：1)keystore可以理解為一個數據庫，可以存儲多組數據。每組數據主要包括以下兩種數據：a:密鑰實體（Keyentity）——密鑰（secretkey）或私鑰和配對公鑰(不對稱加密)b:可信的證書實體（trustedcertificateentries）——只包含公鑰2）-keystored:\mykeystore\keystore.p12，指定在d:\mykeystore(首先，手動創(chuàng)建此文件夾)，生成keystore:keystore.p123）-aliastomcat，指示keystore中唯一的別名：tomcat，因為keystore中可能還有其他的別名，比如：tomcat24)-storePKCS12指示密鑰倉庫類型為PKCS125）-keyalgRSA，指定加密算法，本例采用通用RAS加密算法6)-keysize2048指定密鑰的長度為20487)-validity3650指定證書有效期為3650天8）-extsan=ip:請根據您的服務器IP地址設置192.168.100.132，如果不設置，客戶端在訪問時可能會報錯9）-dname“CN=garyyan,OU=mycompany,O=mycompany,L=gd,ST=gd,C=china”其中：”CN=(姓名與姓氏)，OU=(組織單位名稱)，O=(組織名稱)，L=(城市或區(qū)域名稱)，ST=(州或省名)，C=(單位兩字母國家代碼)”，我在測試過程中發(fā)現(xiàn)隨便填就行了4：導出公鑰證書(主要用于客戶端)：運行命令：keytool-export-keystored:\mykeystore\keystore.p12-aliastomcat-filemycer.cer-storepass123466其中：1）-keystored:\mykeystore\keystore.P12是指上面的keystore文件2)-aliastomcat是指定別名為tomcat的組3）-filemycer.當前目錄生成的cer指定為mycer.cer證書4)-storepass123456是生成keystore所用的密碼

• 問：SSL證書驗證過程有什么？

  答：我們知道證書鏈的概念，所以，通過服務器返回網站證書路徑，我們通過終端證書-中間證書-根證書逐步驗證，如果在信任證書列表中找到根證書可以簽署證書鏈上的證書，證書是信任的。這很容易實現(xiàn)，因為JavaJDK幫助我們實現(xiàn)了必要的驗證邏輯，并且對客戶端是透明的，使用默認的TrustManager：SSLContextcontext=SSLContext.getInstance("TLS");///Trustmanager傳null將使用系統(tǒng)默認的“SunX509”TrustManagercontext.init(null,null,null);URLurl=newURL("https://www.baidu.com");HttpsURLConnectionconnection=(HttpsURLConnection)url.openConnection();connection.setSSLSocketFactory(context.getSocketFactory());InputStreamis=connection.getInputStream();當SSLContextinit方法的第二個參數傳輸到null時，Trustmanager將使用默認的Sunx509實現(xiàn)，代碼如下：TrustManagerFactorymgr=TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm())mgr.init((KeyStore)null);TrustManager[]var2=var4.getTrustMan·agers();當然，功能也可以在TrustManager上擴展，但除非場景極其特殊，否則一般不建議做。上述驗證方法在Android系統(tǒng)中基本相似。在啟動REST接口訪問時，可以根據場景使用不同的驗證方法。那么，當網站嵌入網站時，如何保證訪問的安全呢？以下是網站的一些方法：當webview加載頁面時，將對證書進行驗證。當驗證錯誤時，將回調該方法。Ssleror對象將傳遞證書。您可以在這里進行自定義驗證。自定義驗證邏輯可以對傳入的證書進行任何自定義驗證。同時，通過以上分析，可以看出，要求的安全取決于客戶端和服務器之間的許多合同。同時，客戶端對證書的驗證是整個保證的基礎。v

熱門SSL證書產品推薦

證書等級	DV（域名級）SSL證書	OV（企業(yè)級）SSL證書
適用場景	個人網站、企業(yè)測試	中小企業(yè)的網站、App、小程序等
驗證級別	驗證域名所有權	驗證企業(yè)/組織真實性和域名所有權
HTTPS數據加密
瀏覽器掛鎖
搜索排名提升
單域名證書	¥ 150 /年   ¥ 400 /3年 立即購買	¥ 720 /年   ¥ 2000 /3年 立即購買
通配符證書	¥ 550 /年   ¥ 1500 /3年 立即購買	¥ 1500 /年   ¥ 4200 /3年 立即購買