本文檔介紹了使用阿里云數字證書管理服務時需要了解的基本概念。
數字證書
數字證書是一個經權威授權機構數字簽名,包含公開密鑰的擁有者信息以及公開密鑰的文件,是權威機構頒發給網站的可信憑證。最簡單的證書包含一個公開密鑰、證書名稱以及證書授權中心的數字簽名。
數字證書的一個重要特征:只在特定的時間段內有效。
CA認證中心
CA認證中心(CA機構),即證書授權中心(Certificate Authority)或稱證書授權機構。
CA認證中心作為電子商務交易中受信任的第三方,承擔公鑰體系中公鑰合法性檢驗的責任。
證書有效期
自2020年09月01日起,全球CA頒發的證書有效期最長為397天(13個月)。您通過阿里云數字證書管理服務購買的正式SSL證書,有效期都是13個月。個人測試證書(免費版)有效期為3個月。個人測試證書(pro)有效期為12個月。
SSL
安全套接層SSL(Secure Sockets Layer)協議是一種可實現網絡通信加密的安全協議,可在瀏覽器和網站之間建立加密通道,保障數據在傳輸的過程中不被篡改或竊取。
SSL證書
SSL證書采用SSL協議進行通信,是由權威機構頒發給網站的可信憑證,具有網站身份驗證和加密傳輸雙重功能。
SSL證書指定了在應用程序協議(例如,HTTP、Telnet、FTP)和TCP/IP之間提供數據安全性分層的機制。它是在傳輸通信協議(TCP/IP)上實現的一種安全協議,采用公開密鑰技術為TCP/IP連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。
SSL證書采用公鑰體制,即利用一對互相匹配的密鑰對進行數據加密和解密。每個用戶自己設定一把特定的、僅為本人所知的私有密鑰(私鑰),并用它進行解密和簽名;同時設定一把公共密鑰(公鑰)并由本人公開,為一組用戶所共享,用于加密和驗證簽名。
SSL證書部署到Web服務器后,您通過Web服務器訪問網站時將啟用HTTPS協議。您的網站將會通過HTTPS加密協議來傳輸數據,可幫助您的Web服務器和客戶端瀏覽器間建立可信的加密鏈接,從而保證網絡數據傳輸的安全。
關于證書私鑰的詳細介紹,請參見什么是公鑰和私鑰?。
根證書
根證書是證書頒發機構(CA)自簽名頒發的,扮演著信任的角色,是證書信任鏈的起始,用于驗證由該CA簽發的所有下級證書的真實性。
受信任CA的根證書一般都會預裝在操作系統(Windows、macOS、Linux發行版等)、主流瀏覽器(Chrome、Firefox等)或移動設備(iOS和Android等移動操作系統)中,因此通常情況下在安裝CA簽發的SSL證書后,都會自動驗證SSl證書的真實性。
中間證書
中間證書是位于根證書和用戶實體證書(SSL證書)之間,由上級CA簽發給下級CA的證書。
中間證書是為了降低由根證書簽發SSL證書所帶來的風險。例如,如果發生錯誤頒發或者需要撤銷根證書,則使用根證書簽名的每個證書都會將不受信。因此,為了避免這種風險發生,通常使用中間證書的私鑰來簽名用戶申請的SSL證書。
證書鏈
證書鏈包含根證書、中間證書和最終實體證書(SSL證書),其目的是為了驗證SSL證書的真實性和有效性。例如,當一個瀏覽器(客戶端)與Web應用服務器建立HTTPS連接時,服務器會發送SSL證書以及可能需要的全部中間證書給客戶端。客戶端會驗證每個SSL證書是否是上級證書正確簽發的,直至追溯到一個受信任的根證書。如果驗證失敗(證書過期失效,非信任的CA簽發等),客戶端與服務器的通信將不安全。
HTTPS
HTTPS也就是HTTP+SSL,基于SSL協議的網站加密傳輸協議,是HTTP的安全版。
您的網站安裝SSL證書后,將會通過HTTPS加密協議來傳輸數據,HTTPS加密傳輸協議可激活客戶端瀏覽器到網站服務器之間的SSL加密通道(SSL協議),從而實現高強度雙向加密傳輸,防止傳輸數據被泄露或篡改。
域名
域名是IP地址的代稱,由一串用半角句號(.)分隔的名稱組成,在數據傳輸時用來標識一臺服務器或服務器組。
單域名是最簡單的域名,例如,www.aliyundoc.com。
通配符域名是指對應一個主域名及其所有次級子域名的域名。
通配符證書
通配符證書也叫泛域名證書,證書綁定的域名為通配符域名(例如*.aliyundoc.com)時,即稱該證書為通配符域名證書。
多通配符證書是指綁定多個通配符域名的證書。數字證書管理服務只支持申請單個通配符域名的證書,不支持申請多通配符域名的證書。您可以通過合并多個相同品牌、類型的證書,生成多通配符證書。具體操作,請參見證書合并申請。
混合域名證書
混合域名證書是指綁定的域名既包括單域名,也包括通配符域名的證書。例如,綁定的域名為*.aliyundoc.com、demo.example.com,即稱該證書為混合域名證書。
數字證書管理服務不支持申請混合域名證書,您可以通過合并多個相同品牌、類型的證書,生成混合域名證書。具體操作,請參見證書合并申請。
Nginx
Nginx是一款輕量級高并發的Web服務器、反向代理服務器和電子郵件(IMAP和POP3)代理服務器,在BSD-like協議下發行。它可以運行在Linux、Windows、FreeBSD、Solaris、AIX、Mac OS等操作系統上,為您提供反向代理、負載均衡、動靜分離等服務。
Tengine
Tengine是由淘寶網發起的Web服務器項目,它繼承Nginx的所有特性、兼容Nginx的配置。
PuTTY
PuTTY是一款Telnet、SSH、rlogin、純TCP以及串行接口連接軟件,它可以遠程管理Linux和Windows操作系統。
Xshell
Xshell是一款強大的安全終端模擬軟件,它支持SSH1、SSH2、Microsoft Windows平臺的Telnet協議。Xshell可以在Windows界面下遠程管理不同系統下的服務器,從而達到比較好的遠程控制終端的目的。Xshell支持VT100、VT220、VT320、Xterm、Linux、SCO ANSI、ANSI終端仿真,并提供各種終端外觀選項取代傳統的Telnet客戶端。
CentOS
社區企業操作系統CentOS(Community Enterprise Operating System)是一個基于Red Hat Linux提供的可自由使用源代碼的免費版企業級Linux發行版本。
CSR
CSR(Certificate Signing Request)是證書簽名請求文件,包含了您的服務器信息和公司信息。申請證書時需要將您證書的CSR文件提交給CA認證中心審核,CA中心對CSR文件進行根證書私鑰簽名后會生成證書公鑰文件(即簽發給您的SSL證書)。