SSL證書百科

常見問題

• 問：linux生成SSL證書的方法？

  答：1、生成加密自簽名（SSL）證書使用命令：opensslreq-new-x509-newkeyrsa:2048-keyout/data/server.key-out/data/server.crt注:執(zhí)行命令后，需要輸入密碼，然后依次輸入國家、地區(qū)、城市、組織、組織單位、Commonname和Email。其中，Commonname，可以寫自己的名字或域名，如果要支持https，Commonname應(yīng)該與域名保持一致，否則會引起瀏覽器警告。2、生成不加密的簽名（SSL）證書1)生成私鑰使用openssl工具生成RSA私鑰opensslgenrsa-des3-out/data/server.key2048注：生成rsa私鑰，des3算法，2048位強(qiáng)度，server.key是一個密鑰文件名，生成一個私鑰，要求您輸入這個key文件的密碼至少提供四個密碼，因為您必須在生成時輸入密碼。您可以在輸入后刪除它（因為它將來會被nginx使用。每次reloadnginx配置，您都需要驗證此PAM密碼）。2)刪除密碼mv/data/server.key/data/server.key.org（或cp/data/server.key/data/server.key.org）opensslrsa-in/data/server.key.org-out/data/server.key3)生成CSR(證書簽名請求)生成私鑰后，根據(jù)這個key文件生成證書請求csr文件使用OpenSSL實現(xiàn)自簽名，具體操作如下：opensslreq-new-key/data/server.key-out/data/server.csr注:執(zhí)行命令后，需要輸入密碼，然后依次輸入國家、地區(qū)、城市、組織、組織單位、Commonname和Email。其中，Commonname，可以寫自己的名字或域名，如果要支持https，Commonname應(yīng)該與域名保持一致，否則會引起瀏覽器警告。4)生成自簽名crt證書最后，根據(jù)key和csr生成crt證書文件openslx509-req-days3650-in/data/server.csr-signkey/data/server.key-out/data/server.crt

• 問：SSL證書分類都有什么？

  答：SSL證書的類型實際上是由三種類型來區(qū)分的。不同類型的SSL證書有不同的驗證級別。認(rèn)證級別的主要類型有：1、擴(kuò)展驗證證書(EVSSL)2、組織驗證證書(OVSSL)3、域名驗證證書(DVSSL)

• 問：SSL自簽名證書存在的安全隱患都有什么？

  答：公鑰加密基礎(chǔ)設(shè)施（PKI）中、證書頒發(fā)機(jī)構(gòu)（CA）必須信任證書簽名人，以保護(hù)私鑰，并通過互聯(lián)網(wǎng)在線傳輸信息。然而，在簽署SSL證書的情況下，CA無法識別簽名人或信任它，因此私鑰將不再安全和損壞，這鼓勵網(wǎng)絡(luò)罪犯攻擊網(wǎng)站并竊取信息。⌈自簽名SSL證書的缺點(diǎn)⌋：·應(yīng)用/操作系統(tǒng)不信任自簽證證書，可能導(dǎo)致身份驗證錯誤等。·低哈希和密碼技術(shù)可用于自簽證。因此，自簽證的安全水平可能不符合當(dāng)前的安全策略。·不支持高級PKI(公鑰基礎(chǔ)設(shè)施)功能，如網(wǎng)上檢查撤銷列表等。·自簽證的有效期一般為一年，這些證書每年都需要更新/更換，這是一個難以維護(hù)的問題。⌈在公共場所使用自簽名SSL證書的風(fēng)險⌋：與自簽名SSL證書相關(guān)的安全警告將驅(qū)逐潛在客戶，因為他們擔(dān)心該網(wǎng)站無法保護(hù)其憑證，從而損害品牌聲譽(yù)和客戶信任。⌈在內(nèi)部網(wǎng)站上使用自簽名SSL證書的風(fēng)險⌋：在公共網(wǎng)站上使用自簽名證書的風(fēng)險很明顯，在內(nèi)部使用也有風(fēng)險。內(nèi)部網(wǎng)站（如員工門戶）上的自簽名證書仍然會導(dǎo)致瀏覽器警告。許多組織建議員工忽略警告，因為他們知道內(nèi)部網(wǎng)站是安全的，但這可能會鼓勵危險的公共瀏覽行為。習(xí)慣于忽視內(nèi)部網(wǎng)站警告的員工可能會忽略公共網(wǎng)站上的警告，使他們和你的組織容易受到惡意軟件和其他威脅的攻擊。如果自簽名SSL證書安裝在電子商務(wù)網(wǎng)站上，用戶會感受到數(shù)據(jù)和信息被盜的風(fēng)險，退出購物，這也會影響在線業(yè)務(wù)和所有者的聲譽(yù)。收集用戶敏感信息和個人信息的網(wǎng)站不得安裝自簽名SSL證書。銀行、電子商務(wù)、社交媒體、醫(yī)療保健和政府部門就是其中之一。公鑰加密基礎(chǔ)設(shè)施（PKI）中、證書頒發(fā)機(jī)構(gòu)（CA）必須信任證書簽名人，以保護(hù)私鑰，并通過互聯(lián)網(wǎng)在線傳輸信息。然而，在簽署SSL證書的情況下，CA無法識別簽名人或信任它，因此私鑰將不再安全和損壞，這鼓勵網(wǎng)絡(luò)罪犯攻擊網(wǎng)站并竊取信息。⌈自簽名SSL證書的缺點(diǎn)⌋：·應(yīng)用/操作系統(tǒng)不信任自簽證證書，可能導(dǎo)致身份驗證錯誤等。·低哈希和密碼技術(shù)可用于自簽證。因此，自簽證的安全水平可能不符合當(dāng)前的安全策略。·不支持高級PKI(公鑰基礎(chǔ)設(shè)施)功能，如網(wǎng)上檢查撤銷列表等。·自簽證的有效期一般為一年，這些證書每年都需要更新/更換，這是一個難以維護(hù)的問題。⌈在公共場所使用自簽名SSL證書的風(fēng)險⌋：與自簽名SSL證書相關(guān)的安全警告將驅(qū)逐潛在客戶，因為他們擔(dān)心該網(wǎng)站無法保護(hù)其憑證，從而損害品牌聲譽(yù)和客戶信任。⌈在內(nèi)部網(wǎng)站上使用自簽名SSL證書的風(fēng)險⌋：在公共網(wǎng)站上使用自簽名證書的風(fēng)險很明顯，在內(nèi)部使用也有風(fēng)險。內(nèi)部網(wǎng)站（如員工門戶）上的自簽名證書仍然會導(dǎo)致瀏覽器警告。許多組織建議員工忽略警告，因為他們知道內(nèi)部網(wǎng)站是安全的，但這可能會鼓勵危險的公共瀏覽行為。習(xí)慣于忽視內(nèi)部網(wǎng)站警告的員工可能會忽略公共網(wǎng)站上的警告，使他們和你的組織容易受到惡意軟件和其他威脅的攻擊。如果自簽名SSL證書安裝在電子商務(wù)網(wǎng)站上，用戶會感受到數(shù)據(jù)和信息被盜的風(fēng)險，退出購物，這也會影響在線業(yè)務(wù)和所有者的聲譽(yù)。收集用戶敏感信息和個人信息的網(wǎng)站不得安裝自簽名SSL證書。銀行、電子商務(wù)、社交媒體、醫(yī)療保健和政府部門就是其中之一。

熱門SSL證書產(chǎn)品推薦

證書等級	DV（域名級）SSL證書	OV（企業(yè)級）SSL證書
適用場景	個人網(wǎng)站、企業(yè)測試	中小企業(yè)的網(wǎng)站、App、小程序等
驗證級別	驗證域名所有權(quán)	驗證企業(yè)/組織真實性和域名所有權(quán)
HTTPS數(shù)據(jù)加密
瀏覽器掛鎖
搜索排名提升
單域名證書	¥ 150 /年   ¥ 400 /3年 立即購買	¥ 720 /年   ¥ 2000 /3年 立即購買
通配符證書	¥ 550 /年   ¥ 1500 /3年 立即購買	¥ 1500 /年   ¥ 4200 /3年 立即購買