沃通 SSL证书

一、制作CSR文件

CSR是CertificateSecurequest证书请求文件。该文件由申请人制作，系统在制作时会产生两个密钥，一个是公钥，另一个是存储在服务器上的私钥。要制作CSR文件，申请人可以参考WEBSERVER文件，一般APACHE等，使用OPENSL命令行生成KEY+CSR2文件，Tomcat，JBoss，Resin等使用KEYTOOL生成JKS和CSR文件，IIS通过向导建立一个挂起请求和一个CSR文件。此外，还可以通过本站提供的CSR在线生成工具在线生成，或者联系本站工作人员协助生成。

二、CA认证

通常有两种认证方法可以将CSR提交给我们的员工:

1、域名认证，一般通过管理员邮箱认证，这种认证速度快，但签发的证书中没有企业名称；

2、企业文档认证，需要提供企业营业执照。一般需要3-5个工作日。还有两种证书需要同时认证，称为EV证书，可以使IE7以上的浏览器地址栏变绿，所以认证也是最严格的。

三、证书的安装

收到我们发给你的CA证书后，可以在服务器上部署证书。一般APACHE文件直接将KEY+CER复制到文件中，然后修改HTTPD.CONF文件；TOMCAT等，需要将CA签发的CER文件导入JKS文件，复制服务器，然后修改SERVER.XML;IIS需要处理挂起请求，导入CER文件。

当客户端向https网站发起请求时，服务器会将SSL证书发送给客户端进行验证，SSL证书中包含一个公钥。验证成功后，客户端会生成一个随机串，用受访网站的SSL证书公钥加密，然后发送给网站服务器。

网站服务器收到加密的随机串后，会用自己的私钥解密，得到客户端生成的随机串。服务器使用这个随机串，开始与客户端对称加密通信，客户端使用随机串加密服务器发送的信息。

SSL证书同时使用不对称加密和对称加密，使用不对称加密将“钥匙”运输给服务器，确保“钥匙”的安全，服务器获得“钥匙”，使用“钥匙”加密信息，整个传输过程处于加密状态，有效保证信息的完整性、准确性和安全性。

SSL证书的品牌并不多，因为要考虑被世界浏览器和设备信任的机构，尽可能覆盖每个版本99%的兼容性，世界上只有:GlobalSign、DigiCert、Entrust，补充交叉链证书以实现信任:Sectigo、Certum。所以可以看出，其实可信的机构真的很少。

标准证书的一般机构如下：GlobalSign、Digicert是主要原因。主要原因是两个品牌都符合中国人的申请要求，认证没有特别繁琐，沟通也比较容易。

Sectigo、与SSL证书中补充的交叉链证书相比，Certum也被很多人使用。除了价格低，种类多，还可以申请OV和EV证书。