SSL證書(shū)百科

常見(jiàn)問(wèn)題

• 問(wèn)：如何進(jìn)場(chǎng)SSL證書(shū)格式轉(zhuǎn)換？

  答：不同的Web服務(wù)器支持不同的證書(shū)格式。您需要將簽發(fā)的證書(shū)轉(zhuǎn)換為適用于當(dāng)前Web服務(wù)器的格式，以便正常安裝SSL證書(shū)。本文介紹了如何轉(zhuǎn)換證書(shū)格式。您可以參考以下方法實(shí)現(xiàn)證書(shū)格式之間的轉(zhuǎn)換：將JKS格式證書(shū)轉(zhuǎn)換為PFX格式您可以使用JDK自帶的Keytool工具，將JKS格式證書(shū)文件轉(zhuǎn)換為PFX格式。例如，您可以執(zhí)行以下命令，并將其轉(zhuǎn)換為PFX格式。cert_name.jks證書(shū)文件轉(zhuǎn)換為cert_name.pfx證書(shū)文件。keytool-importkeystore-srckeystoreD:\.jks-destkeystoreD:\.pfx-srcstoretypeJKS-deststoretypePKCS12(本文證書(shū)名稱(chēng)為cert_name例如：證書(shū)文件名稱(chēng)為例cert_name.pem，證書(shū)密鑰文件名稱(chēng)為cert_name.key。在實(shí)際使用過(guò)程中，您需要cert_name更換為您的證書(shū)名稱(chēng)。)（Keytool該工具是JDK中自帶的密鑰管理工具，可以制作出來(lái)Keystore（jks）您可以從官方地址下載JDK工具包獲取格式證書(shū)文件。JDK\jre\bin\security\目錄下。）將PFX格式證書(shū)轉(zhuǎn)換為JKS格式您可以使用JDK自帶的Keytool工具，將PFX格式證書(shū)文件轉(zhuǎn)換為JKS格式。例如，您可以執(zhí)行以下命令，并將其轉(zhuǎn)換為JKS格式。cert_name.pfx證書(shū)文件轉(zhuǎn)換為cert_name.jks證書(shū)文件。keytool-importkeystore-srckeystoreD:\.pfx-destkeystoreD:\.jks-srcstoretypePKCS12-deststoretypeJKS將PEM，KEY或CRT格式證書(shū)轉(zhuǎn)換為PFX格式證書(shū)您可以使用OpenSSL工具，將KEY格式密鑰文件，PEM或CRT格式公鑰文件轉(zhuǎn)換為PFX格式證書(shū)文件。例如，將您的KEY格式密鑰文件轉(zhuǎn)換為PFX格式證書(shū)文件。cert_name.keyPEM格式公鑰文件cert_name.pem復(fù)制到OpenSSL工具安裝目錄，使用OpenSSL工具執(zhí)行以下命令，將證書(shū)轉(zhuǎn)換為OpenSSL工具安裝目錄cert_name.jks證書(shū)文件。opensslpkcs12-export-out.pfx-inkey.key-in.pem將PFX格式證書(shū)轉(zhuǎn)換為PFX格式證書(shū)PEM，KEY或CRT格式您可以使用OpenSSL工具將PFX格式證書(shū)文件轉(zhuǎn)換為KEY格式密鑰文件，PEM或CRT格式公鑰文件。例如，您的PFX格式證書(shū)文件cert_name.pfx復(fù)制到OpenSSL安裝目錄，使用OpenSSL工具執(zhí)行以下命令，將證書(shū)轉(zhuǎn)換為OpenSSL安裝目錄cert_name.pem證書(shū)文件和KEY格式密鑰文件cert_name.key。執(zhí)行opensslpkcs12-in.pfx-nokeys-out.pem。執(zhí)行opensslpkcs12-in.pfx-nocerts-out.key-nodes。將CER格式證書(shū)轉(zhuǎn)化為PEM格式您可以使用OpenSSL工具將CER格式證書(shū)文件轉(zhuǎn)換為PEM格式證書(shū)。例如，將您的CER格式證書(shū)文件cert_name.cer復(fù)制到OpenSSL安裝目錄，使用OpenSSL工具執(zhí)行以下命令，將證書(shū)轉(zhuǎn)換為OpenSSL安裝目錄cert_name.pem證書(shū)文件。opensslx509-in.cer-out.pem-outformPEM將PEM格式證書(shū)轉(zhuǎn)化為CER格式您可以使用OpenSSL工具將PEM格式證書(shū)文件轉(zhuǎn)換為CER格式證書(shū)文件。例如，將您的PEM格式證書(shū)文件cert_name.pem復(fù)制到OpenSSL安裝目錄，使用OpenSSL工具執(zhí)行以下命令，將證書(shū)轉(zhuǎn)換為OpenSSL安裝目錄cert_name.cer證書(shū)文件。opensslx509-in.pem-out.cer-outformDER

• 問(wèn)：SSL證書(shū)和ca證書(shū)區(qū)別都有什么？

  答：CA數(shù)字證書(shū)一般又稱(chēng)為CA證書(shū)，它是由CA機(jī)構(gòu)簽發(fā)的證書(shū)。而SSL證書(shū)是數(shù)字證書(shū)，因?yàn)榕渲迷赪eb服務(wù)器上，所以也稱(chēng)為SSL服務(wù)器證書(shū)。SSL證書(shū)和CA證書(shū)是從屬關(guān)系，SSL證書(shū)只是眾多CA證書(shū)中的一種。CA機(jī)構(gòu)是采用公開(kāi)密鑰基礎(chǔ)技術(shù)，專(zhuān)門(mén)提供網(wǎng)絡(luò)身份認(rèn)證服務(wù)、負(fù)責(zé)簽發(fā)和管理數(shù)字證書(shū)，且具有權(quán)威性和公正性的第三方信任機(jī)構(gòu)。SSL證書(shū)也是由CA機(jī)構(gòu)簽發(fā)的，不過(guò)CA機(jī)構(gòu)簽發(fā)的證書(shū)有很多種，都叫CA證書(shū)，所以SSL證書(shū)只是其中一種。CA中心是頒發(fā)SSL證書(shū)的機(jī)構(gòu)，您可以通過(guò)已購(gòu)買(mǎi)的SSL證書(shū)實(shí)例向CA中心提交證書(shū)申請(qǐng)。只有當(dāng)CA中心審核通過(guò)您的證書(shū)申請(qǐng)后，才會(huì)為您簽發(fā)SSL證書(shū)，然后將已簽發(fā)的SSL證書(shū)安裝到您的Web服務(wù)器，使網(wǎng)站可以實(shí)現(xiàn)https加密訪問(wèn)。SSL證書(shū)只有正確安裝到Web服務(wù)器，才能實(shí)現(xiàn)客戶(hù)端與服務(wù)器間的https通信。由于涉及到不同類(lèi)型Web服務(wù)器的配置，您需要在證書(shū)簽發(fā)后，根據(jù)實(shí)際服務(wù)器環(huán)境來(lái)安裝證書(shū)。部分知名的SSL證書(shū)服務(wù)商也會(huì)提供免費(fèi)安裝證書(shū)服務(wù)。例如您選購(gòu)的是DigiCertSSL證書(shū)、SymantecSSL證書(shū)、GeoTrustSSL證書(shū)等，則可獲得免費(fèi)安裝證書(shū)服務(wù)，不需要自己手動(dòng)安裝。SSL證書(shū)的主要作用是服務(wù)器身份認(rèn)證和數(shù)據(jù)加密傳輸，有效地防止了隱私信息被竊取或篡改，防止釣魚(yú)網(wǎng)站假冒、流量被劫持等情況發(fā)生。網(wǎng)站部署有效的SSL證書(shū)后，在外觀上也會(huì)發(fā)生變化，比如網(wǎng)站網(wǎng)址前綴會(huì)變成https，同時(shí)瀏覽器地址欄還會(huì)顯示綠色安全鎖。如果部署的是安全等級(jí)高的企業(yè)型OV或EVSSL證書(shū)，訪客還可查看到公司名稱(chēng)，有利于提升品牌形象。

• 問(wèn)：CA證書(shū)品牌機(jī)構(gòu)有哪些？

  答：CA證書(shū)在世界上有四個(gè)證書(shū)庫(kù)，世界上所有品牌的證書(shū)都是由這些CA機(jī)構(gòu)頒發(fā)的。目前，CA證書(shū)的使用主要取決于證書(shū)品牌。部分品牌證書(shū)具有優(yōu)異的安全性能和兼容性，也得到了市場(chǎng)的認(rèn)可和信賴(lài)。1.JoySSLJoySSL是網(wǎng)盾數(shù)字科研推出的新一代https數(shù)字證書(shū)，也是目前為數(shù)不多的中國(guó)自主品牌CA證書(shū)之一。JoySSL攜手全球可信頂級(jí)根源，基于國(guó)內(nèi)服務(wù)器驗(yàn)證發(fā)布，安全可信，完美兼容，更加穩(wěn)定快捷。JoySSL自主品牌證書(shū)提供免費(fèi)版本，包括單域名、多域名、通配符等適應(yīng)范圍。其產(chǎn)品深受政府行政單位和高校的認(rèn)可，在國(guó)內(nèi)市場(chǎng)占有率高，是企事業(yè)單位網(wǎng)站加密的首選品牌。特點(diǎn)：品牌自主，全球可信2.SectigoSectigo(原ComodoCA)是全球SSL證書(shū)市場(chǎng)份額最高的CA公司，目前近40%的CA證書(shū)用戶(hù)選擇Sectigo。由于其產(chǎn)品安全、價(jià)格低廉，受到了大量站長(zhǎng)的信任和歡迎。Sectigo的CA證書(shū)品牌包括Sectigo，PositiveSSL,SectigoEnterprise等。特點(diǎn)：市場(chǎng)占有率高3.GeotrustGeotrust是世界上最可信的安全品牌之一，專(zhuān)注于企業(yè)級(jí)SSL證書(shū)解決方案。Geotrust為各類(lèi)企業(yè)提供高性?xún)r(jià)比的數(shù)字證書(shū)，包括EV、OV，DV，通配符型證書(shū)等。Geotrust是SymantecRapidSL和QuickSL是Geotrust旗下的低端證書(shū)品牌。特點(diǎn)：品牌知名，兼容性強(qiáng)4.DigicertDigicert收購(gòu)Symantec數(shù)字證書(shū)業(yè)務(wù)后，已成為世界領(lǐng)先的互聯(lián)網(wǎng)安全品牌。在網(wǎng)站安全、電子郵件安全、數(shù)據(jù)泄露保護(hù)和SSL證書(shū)等領(lǐng)域，沒(méi)有一個(gè)品牌能取代Digicert/Symantec的地位。所有DigicertSSL證書(shū)，都支持在有效期內(nèi)免費(fèi)重新簽發(fā)服務(wù)。特點(diǎn):證書(shū)品牌多，安全性高5.GlobalsignGlobalsign是世界知名的數(shù)字證書(shū)頒發(fā)機(jī)構(gòu)，也是世界上最早的CA之一。GlobalSign是信息安全領(lǐng)域的佼佼者，全球證書(shū)發(fā)行量超過(guò)2000萬(wàn)，為各類(lèi)企業(yè)提供CA證書(shū)服務(wù)。其SSL證書(shū)產(chǎn)品在電子商務(wù)行業(yè)中很受歡迎。特點(diǎn)：電子商務(wù)行業(yè)深受歡迎

熱門(mén)SSL證書(shū)產(chǎn)品推薦

證書(shū)等級(jí)	DV（域名級(jí)）SSL證書(shū)	OV（企業(yè)級(jí)）SSL證書(shū)
適用場(chǎng)景	個(gè)人網(wǎng)站、企業(yè)測(cè)試	中小企業(yè)的網(wǎng)站、App、小程序等
驗(yàn)證級(jí)別	驗(yàn)證域名所有權(quán)	驗(yàn)證企業(yè)/組織真實(shí)性和域名所有權(quán)
HTTPS數(shù)據(jù)加密
瀏覽器掛鎖
搜索排名提升
單域名證書(shū)	¥ 150 /年   ¥ 400 /3年 立即購(gòu)買(mǎi)	¥ 720 /年   ¥ 2000 /3年 立即購(gòu)買(mǎi)
通配符證書(shū)	¥ 550 /年   ¥ 1500 /3年 立即購(gòu)買(mǎi)	¥ 1500 /年   ¥ 4200 /3年 立即購(gòu)買(mǎi)