聊聊SSL证书

时间 2019-11-09

标签聊聊 ssl 证书栏目 SSL 繁體版

原文原文链接

在作运维工做以前，只是据说过SSL证书，作运维工做以后，也只是据说过SSL证书，由于不作这方面的工做，也不太去关心这个。不过如今，是时候学习一下，补充一下这方面的知识的时候了。网上搜了不少文章资料，可是感受能把SSL证书介绍的通俗易懂，比较容易理解的，几乎没有啊！我就按照本身的理解，再写一篇有关SSL证书的文章吧。若有理解不对之处，还请帮忙指正，我也会及时更新过来。算法

咱们先来看看什么是SSL。浏览器

SSL = Secure Sockets Layer, a cryptographic protocol used for network traffic。
摘自https://en.wikipedia.org/wiki/SSL安全

SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通讯提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络链接进行加密。
摘自https://baike.baidu.com/item/ssl网络

因此，你看，SSL就是一种安全协议，简单的理解就是有了这玩意儿你的数据在网络上传输的话就更安全，是通过加密的。具体怎么实现的，不知道，反正就是各类加密的算法吧。运维

单聊SSL也没什么意思，它是要跟其它技术配合使用的，光靠它本身，也干不成什么事儿。提到SSL，那就必须说一下HTTPS，那啥叫HTTPS？ide

HTTPS （全称：Hyper Text Transfer Protocol over SecureSocket Layer），是以安全为目标的 HTTP 通道，在HTTP的基础上经过传输加密和身份认证保证了传输过程的安全性。HTTPS 在HTTP 的基础下加入SSL 层，HTTPS 的安全基础是 SSL，所以加密的详细内容就须要 SSL。学习

因此，能够简单的理解：HTTPS = HTTP + SSL加密

HTTPS换成小写：https，是否是很熟悉？是的，你平时上网浏览的网页，不少不少都是基于https的。好比：https://www.taobao.com/3d

用你的浏览器打开淘宝首页，下面是用Firefox和IE打开淘宝首页的样子，浏览器不一样，样子貌似不同，不过都有一个小锁图标，通常有这个小锁图标，并且是绿色的，就说明是有证书的，也是相对来讲比较安全的。code

Firefox浏览器打开taobao首页：

用IE打开taobao首页：

接着你动动你的鼠标，点击一下那个小锁图标，就会弹出来一个小框框，下面有个查看证书，接着点下去。而后真正的证书信息窗口就会弹出来了，就像下面这个样子。
Genernal这个tab下面，能够看到这个证书是颁发给：*.tmall.com的，是由谁颁发的呢？看Issued by：GlobalSign Organization Validation CA - SHA256 - G2这个机构。
有效期是：10/25/2019 至 10/25/2020
看来taobao网的证书是前两天刚renew的。又花了老多钱了，哎，反正阿里也不差钱。这里你发现一个问题了没？这个证书是颁发给：*.tmall.com的，为何浏览器地址栏里输入taobao.com浏览器也认为它是安全的呢？莫急，切听我慢慢道来。

我们接着往下看，切到另一个tab，details下来一探究竟。在Field下面，又有不少信息，你找到一个叫：Subject Alternative Name，点击一下，看看下面的信息发生了什么变化？一坨一坨的DNS Name出来了。你发现了麽？在开头的那一坨DNS Name的格式是以星号开头的，就是通配符的DNS Name，就是星号的地方你随便更改，只要后面是以.tmll.com, .1688.com, .3c.tmall.com等等等等结尾的，均可以用这个证书。

接着继续滚动鼠标，往下看，你会找到一个DNS Name = taobao.com，这也就是说地址栏里输入taobao.com，这个证书照样管用。

那如今，咱们就聊聊，什么是Subject Alternative Name?

SAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书，能够扩展此证书支持的域名，使得一个证书能够支持多个不一样域名的解析。详细信息可参考：https://support.dnsimple.com/articles/what-is-ssl-san/

因此，你如今知道了吧？taobao只搞了一张证书，并且证书是只颁发给*.tmall.com的，可是其它阿里巴巴公司下面的域名均可以使用这一张证书，就是用了这个。只维护一张证书，是否是很方便呢？通常人可不知道这个，如今告诉你了，麻烦给这篇文章点个赞或者转发一下吧！

接下来，咱们继续切换到Certificateion Path这个tab。咱们来看看啊！
你会发现这个证书路径下，实际上是嵌套的，三层结构。
第一层：GlobalSign Root CA ->这个是根证书，你点这个根证书，而后点击浏览证书那个按钮，就会再打开一个证书窗口，这个是根证书的详细信息。你能够发现一个颇有趣的事情，TMD本身颁发给本身的。是的，你没看错，人家就是这么牛逼。
第二层：GlobalSign Organization Validation CA - SHA256 - G2 ->这个他们叫中间证书，就是一个中间商，仍是个奸商。在根证书的颁发机构CA下面，会有不一样的中间商。举个不太恰当的栗子，就比如工商管理局，它就是一个证书颁发机构CA，这个机构下面会分不一样的部门来管理不一样的证书类型，好比你要开一个饭店，那就须要管理餐饮方面的部门来给你发证书；若是你要开一个烟酒×××店，那估计是负责烟酒部门的给你发证书；你要开酒店，估计是旅馆部门管理的。。。
一样，你点一下中间证书，而后点击浏览证书按钮，你会发现它的证书是由根证书颁发机构颁发给它的。
第三层：*.tmall.com ->这个就是真正的证书了，颁发给你的证书了。详细信息在证书的General这个tab上面。

今天先写到这吧！改天继续。。。