- Objective: - Breadcrumb: # 概念阐释 网站的可信凭证，具有网站身份验证和加密传输双重功能。HTTP协议无法加密数据，可能导致数据传输泄露、篡改或钓鱼攻击等问题。[[Web 服务器]]在部署了SSL证书后，可建立服务器与浏览器之间的[[HTTPS]]协议的加密链接，保证数据安全传输。 # 实例 ## SSL证书类型： ### DV（域名型） - 个人网站 - 安全性：一般 ### OV（企业型） - 政府组织、企业、教育机构 - 安全性：高 ### EV（企业增强型） - 大型企业、金融机构 - 安全性：最高 ## SSL证书支持的域名类型 - 单域名：一个域名www.aliyundoc.com - 多域名：多域名是指一个证书同时绑定多个单域名。一个证书最多支持绑定250个域名。 - 通配符域名：支持一个主域名下的全部子[[域名]]证书，范围为`*.aliyundoc.com` - 混合域名证书：主域名+子域名，例如，绑定的域名为*.aliyundoc.com、demo.example.com，即称该证书为混合域名证书。 ## SSL证书支持的加密算法 - RSA：目前应用广泛的非对称加密算法，兼容性好。 - ECC：椭圆曲线公钥密码算法。相比于RSA，ECC是一种更先进和安全的加密算法（加密速度快、效率更高、服务器资源消耗低），目前已在主流浏览器中得到推广。 - SM2：国家密码管理局发布的ECC椭圆曲线公钥密码算法，在中国商用密码体系中用来替代RSA算法。 RSA支持全部证书品牌，在购买时选择RSA即可。 # 相关内容 #### Mac 创建证书 1. 打开 **钥匙串访问 app**（Keychain Access.app） 2. 选择菜单项 钥匙串访问 （Keychain Access） -> 证书助理 （Certificate Assistant） -> 创建证书颁发机构 Create Certificate Authority…  3. 证书参数（名字邮箱随意填写）点击创建即可，记下倒出的位置，后面要用到。  4. 证书创建后，在左侧选择 **我的证书** （My Certificates），然后在右侧列表中找到该证书，右键点击证书，选择导出，**导出格式选择为 .p12 格式，导出时需要设置 密码 （passphrase），不可设置为空。若不可选择 p12 格式，请确认先切换到我的证书 （My Certificates） 后再进行导出。**   5. 将证书复制到左侧 Keychains 列表中的 System 中 粘贴 （不做该步骤会使得 Safari 不认该 CA，不过 Chrome 可以正常工作）输入刚才添加的密码完成。   6. 双击证书，将该证书标记为可信，关闭窗口输入登录密码确认操作。  ## IIS7.5服务器中的集中式SSL证书 > 集中式SSL证书支持是指将所有的SSL证书存储在一个中心位置，这样就可以在多个服务器或网站之间共享和管理这些证书。这种方法的主要好处是简化了证书的管理和维护，并能够在需要的时候轻松添加、更新或删除证书。 > 一种常见的应用场景是在使用负载均衡器或者反向代理的情况下，可以使得==多台Web服务器能共享并使用同一个SSL证书==。而不需要在每台服务器上分别安装和管理各自的SSL证书。 > 例如，在IIS 8（Windows Server 2012的一部分）中，引入了一个新的特性叫做集中式SSL证书支持，这个特性允许管理员在一个中心位置存储和访问SSL证书，然后==所有的IIS服务器都可以访问和使用这些证书==。这样，如果你需要在多个服务器或网站之间使用相同的证书，或者如果你需要管理大量的证书，集中式SSL证书支持可以极大地简化你的工作。 # 参考资料