HTTPS证书知识扫盲

1. 前言

如今搞网站域名不加个HTTPS就显得不专业，特别在使用JWT进行认证的接口必定要加HTTPS为你的接口增长一层安全屏障。今天就来聊聊配置HTTPS的关键SSL证书，也被称为CA证书。

2. 什么是SSL证书？

SSL(Secure socket layer)证书经过在浏览器和WEB服务器之间创建一条SSL安全通道，对传送的数据进行加密和隐藏，确保数据在传输中不被改变，保证数据的完整性，目前已经成为互联网安全传输的主流标准之一。因为SSL技术已创建到全部主要的浏览器和WEB服务器程序中，咱们只须要安装可信任的证书就能够了。

3. 为何要从CA获取证书？

本身签发的证书没有正式在你们所熟知的认证权威那里注册过，所以不能确保它的真实性，你想若是你访问了一个钓鱼网站，而这个网站的证书倒是他们本身签发的证书，这还有什么意义呢？不过本身签发的证书也能保证数据传输的安全性，只是主流浏览器是不信任你的，因此要用权威的CA证书签发机构签发的证书。

4. 为何证书这么贵？

CA机构的证书在之前都是收费的，并且坐地起价，少则一两千块，多则好几万,并且仍是年费。其实签署一个证书的成本几乎为零，开个程序跑就好了，可是为何一个虚拟证书这么贵呢？

据胖哥了解，一个CA机构每一年必须过 WebTrust 年度审计，还要向浏览器厂商交钱，并且还要向保险公司缴纳巨额的保费，另外比较高级的证书签发流程很是严谨，须要大量的人工审核工做。新开的CA公司要等好几年才会被广泛信任，才能普遍进入根证书链。要想入伙就得给其它知名的CA公司掏钱，买次级证书来加速进程。

5. 免费证书也不是没有

昂贵的价格让不少中小网站望而却步，这时一家名叫Let’s Encrypt的机构顺势而出。它是一家免费、开放、自动化的证书颁发机构（CA），旨在为任何拥有域名的人提供免费获取授信的证书。目前已经支持通配符证书，可是只有90天的时效。

Let’s Encrypt的意义就像Gmail同样，让电子邮箱逐渐免费化，走入寻常百姓家。目前大部分的低级别CA证书都已经免费，你能够经过国内几大云厂商申请使用。若是没有Let’s Encrypt恐怕咱们还得被CA机构割韭菜。

6. CA证书的种类

CA证书可按照验证方式和域名适配数量进行区分。

验证方式

• DV域名验证型SSL证书，大部分免费，只须要验证对应域名的全部权，适用于小型静态网站、博客。几分钟就能完成签发
• OV企业验证型SSL证书，须要验证域名全部权以及企业身份信息，证实申请单位是一个合法存在的真实实体，通常在1~5个工做日颁发。
• EV扩展验证型SSL证书，除了须要验证域名全部权以及企业身份信息以外，还须要提交一下扩展型验证，好比：邓白氏等，一般CA机构还会进行电话回访，通常在2~7个工做日颁发证书。价格通常在千元至万元左右，适用于在线交易网站、企业型网站。

域名适配

• 单域名证书，好比证书给www.felord.cn签发，那就只能给该域名使用，不能给其下级域名使用，好比不能给 assets.felord.cn使用。
• 通配符证书，只能保护一个域名以及该域名的全部下一级域名，不限制域名数量。
• 多域名证书，这个最多，能够同时保护多个域名，不限制域名类型，有兴趣能够去看看淘宝网的证书。

7. 总结

今天对SSL证书进行了介绍，相信你已经知道如何去申请适合你本身的证书了。那就赶忙为本身网站添加一个证书吧。另外胖哥不推荐将证书配置到Tomcat之类的容器中，这样不方便开发不说也不利于隐藏真实的服务器，建议使用Nginx代理并将证书配置到Nginx。好了今天的科普就到这里，多多关注：码农小胖哥 获取更多干货知识。

关注公众号：Felordcn 获取更多资讯

我的博客：https://felord.cn