HTTPS实战记录之SSL证书

2019/8/7 9:57:00

证书的种类

SSL 证书按大类一般可分为DV SSL 、OV SSL、EV SSL证书，又叫域名型、企业型、增强型证书：

DV SSL（Domain Validation），域名型SSL证书，证书颁布机构只对域名的所有者进行在线检查，只要你能证明你是这个域名的所有者就可以给你颁发证书，不会校验网站的资质，哪怕你是个黄赌毒网站也可以，个人网站、非盈利项目、开源项目等用域名型证书足矣；

OV SSL（Organization Validation），企业型SSL证书，需要购买者提交组织机构资料和单位授权信等在官方注册的凭证，证书颁发机构在签发 SSL 证书前不仅仅要检验域名所有权，还必须对这些资料的真实合法性进行多方查验，只有通过验证的才能颁发 SSL 证书；

EV SSL（Extended Validation），增强型SSL证书（EV SSL），验证流程更加具体详细，验证步骤更多，这样一来证书所绑定的网站就更加的可靠、可信。它跟普通SSL证书的区别是浏览器的地址栏变绿，如果是不受信的 SSL 证书则拒绝显示，如果是钓鱼网站，地址栏则会变成红色，以警示用户。

不论是 DV、OV 还是 EV 证书，其加密效果都是一样的，个人网站用DV证书、企业用OV足够了。

如何查看证书类型？如下图，百度是OV，github是EV（其实好像并没有统一的区分方法，有的证书不会写）：

2.3.2. 证书的格式

一般来说，主流的 Web 服务软件，通常都基于 OpenSSL 和 Java 两种基础密码库。

Tomcat、Weblogic、JBoss等Web服务软件，一般使用JDK自带的Keytool工具，生成Java Keystore（JKS）格式的证书文件。

Apache、Nginx等Web服务软件，一般使用OpenSSL工具提供的密码库，生成 .key、.crt等格式的证书文件。

IBM 的 Web 服务产品，如 Websphere、IBM Http Server（IHS）等，一般使用 IBM 产品自带的 iKeyman 工具，生成 KDB 格式的证书文件。

微软的IIS使用Windows自带的证书库生成pfx格式的证书文件。

详见下图：

每种格式之间都可以相互转换，转换方法可以参考阿里云给出的帮助文档，在腾讯云申请证书的时候会自动帮你生成4种服务器各自需要的格式，非常方便。

2.3.3. 证书的收费与免费

不是说收费的证书就一定比免费证书好，只不过现阶段各CA机构为了自己的盈利目的，免费证书一般都有一些限制，比如只支持单域名，子域名太多的话需要挨个申请。