ssl双向验证

常见问题

Q:

如何创建自签名SSL证书?

自签名SSL证书是指用户使用工具生成，而不是值得信赖的CA机构颁发的证书，通常只用于测试。

第一步：生成私钥

使用OpenSSL工具生成RSA私钥。

$opensslgenrsa-des3-outserver.key2048

注：生成rsa私钥，des3算法，2048位强度，server.key是密钥文件名。

第二步：生成CSR（证书签名请求）

生成私钥后，可以创建csr文件。您可以使用OpenSSL工具实现自签名，操作以下命令并填写相关信息。

$opensslreq-new-keyserver.key-outserver.csr

在命令行中，根据提示信息输入国家、地区、城市、组织、组织单位、Comonname和Email。其中，Commonname，您可以写下您的名称或域名，如果您想支持https，Commoname应该与域名保持一致，否则会引起浏览器警告。

第三步：生成自签证证书

$openslx509-req-days365-inserver.csr-signkeyserver.key-outserver.crt

这样，您就可以创建一个简单的自签名SSL证书。需要注意的是，该证书不是由值得信赖的CA机构颁发的。当我们通过浏览器访问时，我们会提醒证书的发行人未知，存在很大的安全风险，因此不建议使用。

Q:

SSL证书生成流程是什么？

步骤1：生成私钥

一般来说，我们使用openSSL工具来生成RSA私钥。

说明：生成rsa私钥，des3算法，2048强度，server.Key是一个秘密文件名。

注：通常需要至少4位的密码才能生成私钥。

步骤2：在CSR生成私钥之后，这时就可以创建csr文件了。

这个时候可以有两种选择。理想情况下，证书可以发送给证书颁发机构(SSL证书申请)，签名证书会在CA验证申请人身份后出具。

说明：国家、地区、城市、组织、组织单位、CommonName、CommonName、Email。CommonName可以写下自己的名字或域名，如果要支持https，CommonName应与域名一致，否则会引起浏览器警告。

步骤3：删除私钥中的密码

在创建私钥的第一步中，必须指定密码。但是，这个密码通常会有副作用。这个副作用是Apache每次启动Web服务器都要求重新输入密码，非常不方便。删除私钥中的密码，操作如下:

cpserver.keyserver.key.org

openSSLrsa-inserver.key.org-outserver.key

步骤4：生成自签证书

假如你不想花钱让CA签名，或只是测试SSL的具体实现。现在就可以开始生成SSL证书了。

值得注意的是，在使用自签临时证书时，浏览器会提示证书的颁发机构不得而知。

注:crt上有证书持有人信息、持有人公钥、签名人签名等信息。如果用户安装了这个证书，说明大家都信任这个证书，所以也会有公钥，比如服务器认证，客户端认证，或者签其他证书。

步骤5：安装私钥和证书

将私钥和证书文件复制到Apache的配置目录中，在Mac10.10系统中，将其复制到/etc/apache2/目录就可以了。然后生成SSL证书的步骤就结束了。

国内SSL证书市场上有很多品牌，但如果证书安全且不贵的品牌可能不多。建议您关注Positive，RapidSSL，这些证书品牌，如JoySSL。一般而言，价格并不昂贵，而且这些都是由全球权威机构签发的，证书兼容性好，全球可信。

JoySSL证书价格优惠，产品安全可信。它提供各种免费的SSL证书，包括单域名、多域名、通配符等。用户可以在购买前申请体验试用。

Q:

SSL证书原理是什么?

SSL证书采用SSL协议通信，是权威机构向网站颁发的可信凭证，具有网站身份验证和加密传输的双重功能。

SSL在应用程序协议中指定了证书(例如，HTTP，Telnet，FTP）和TCP/IP提供数据安全分层机制。它是在传输通信协议中。（TCP/IP）上述安全协议采用公共密钥技术作为TCP/IP连接提供数据加密、服务器认证、信息完整性和可选客户机认证。

SSL该证书采用公钥系统，即使用一对匹配的密钥进行数据加密和解密。每个用户设置一个特定的私钥（私钥），解密和签名；设置公钥（公钥），由一组用户共享加密和验证签名。

SSL证书部署到Web服务器后，您通过Web服务器访问网站时将使用HTTPS协议。您的网站将通过HTTPS加密协议传输数据，帮助您的Web服务器和网站之间建立可信的加密链接，以确保网络数据传输的安全。