1、 什么是SSL�?
SSL 是一個安全協議���,最初是由美國網景 Netscape Communication 公司設計開發的���,全稱為安全套接層協議 (Secure Sockets Layer) ����。它采用公開密鑰技術為傳輸通信提供如下幫助:
1. 信息傳輸的保密性;
2. 數據交換的完整性�;
3. 信息的不可否認性���;
4. 交易者身份確定性���。
換句話說�,服務器部署SSL證書后���,其核心能就是確保服務器與瀏覽器之間的數據傳輸是加密傳輸的���,在數據傳輸過程中不被篡改或被解密�����。瀏覽器上,用戶可通過“金色鎖型”標記,得知是否已處于SSL安全保護�,如果更先進的VeriSign EV SSL證書����,那么除了“鎖型”標記外�����,瀏覽器的地址欄還會變成綠色��。
2、 什么是SSL證書信任根
數字證書是一種特殊商品��,它所傳達的是信賴�����、可信和安全�����。而CA數字認證中心是證書的頒發機構,負責檢驗和簽發SSL證書��。但全世界有眾多CA機構���,技術實力�����、經營狀況各不相同,如何對這些簽發證書的CA機構進行界定���,證書信任根起到了關鍵作用。
目前瀏覽器中�,只會根預埋一些擁有強大技術實力的數字認證中心的根證書�,例如VeriSign���。而對于其他未經驗證的數字認證中心簽發的SSL證書���,當用戶在訪問網站時���,瀏覽器就會自動彈出安全警示窗口����。
3、 什么是SGC技術
SGC技術(Server Gated Cryptography)是在現有的SSL證書標準基礎上增加的一種增強密鑰用法(EKU),主要是考慮到2000年以前美國政府對高強度加密算法(128位)出口限制的因素而推出的����,由于出口管制的原因�,2001年以前推出的瀏覽器版本(如:IE 5)和服務器版本(Windows 2000 server)都只支持56位或40位加密算法�,但由于電腦硬件技術和CPU處理速度的快速提高�����,使得破解40位加密算法只需幾秒鐘,而破解56位加密算法也只需幾天時間。
為了加強美國以外的國家的電子商務和網上銀行的安全�����,SSL證書業界就在SSL證書標準基礎上增加的支持強制實現128位加密的增強密鑰用法(EKU)��,也就是說:即使受出口限制的40位或56位瀏覽器或服務器�,只要使用支持SGC技術的SSL證書�����,就能不受限制的實現128位加密。這種強制實現128位高強度加密技術簡稱為SGC技術。
4、 SSL證書是否會影響到速度和流量
因為要為每一個SSL連接實現加密和解密�����,所以會增加服務器CPU的處理負擔��,但一般不會影響太大�����。但考慮到對于客戶隱私安全的保護,根據相關調查顯示��,在重要頁面部署知名品牌的SSL證書��,不但不會流失客戶�����,反而有效促進客戶成交。
為了更好的利用SSL證書技術��,建議可注意以下幾點�����,緩解服務器負擔:
(1) 僅為需要加密的頁面使用SSL�,如登錄或需要提交客戶數據的頁面�����,如(https://www.domaincom/login.asp),不要把所有頁面都使用https://,特別是訪問量最大的首頁���;首頁和其他頁面可以通過部署VeriSign動態簽章標志,提示客戶此網站安全可信�。
(2) 盡量不要在使用了SSL證書的頁面上設計大塊的圖片文件和其他大文件�,盡量使用簡潔的文字頁面��。并通過文字或VeriSign動態簽章標志提示消費者�,頁面處于SSL證書安全保護狀態���。
如果網站交易量或訪問量異常龐大��,天威誠信建議客戶可購買SSL加速卡來專門負責SSL加解密工作�,這樣可完全不增加服務器任何負擔�。此外,增加服務器也是一個不錯的選擇�����。
5���、 crt�����、cer���、key��、der、pem分別是什么格式證書文件
證書文件的擴展名只是一種使用習慣上的區別。在apache下,習慣用crt作為證書文件擴展名��,在IIS等一些平臺下,則習慣用cer作為證書文件的擴展名�����。Key則通常是私鑰文件的擴展名�����。而pem則是包括crt、cer����、key����、der等文件���,或者將多個文件粘貼到一塊的統稱�。
6、 SSL證書做雙向認證是否需要安裝第三方的插件
常用的webserver 中間件都會有支持客戶端認證的功能����,配置SSL證書只需要修改配置文件便可以啟用客戶認證的功能,而不需要安裝第三方的插件���。
7�、 托管服務器�,是否可以安裝SSL證書
99%以上的服務器和客戶端瀏覽器都是支持SSL。虛擬主機一般也可以安裝應用服務器證書,但具體能否安裝服務器證書還要看服務提供商是否提供該服務�����。一般獨享的主機服務提供商會給予完全管理權限����,可以直接安裝服務器證書。如果是多人共享的主機��,通常也可以通過和服務提供商溝通�,購買獨立IP,或購買SSL許可的方式來安裝SSL證書�����。
8�、 如果服務器換了IP地址����,原來的SSL證書是否還能使用?
一般SSL證書都是綁定域名的�����,服務器更換IP地址不會有任何影響�����。只要域名不變�,原來的SSL證書當然照樣可以用�����,重新解析到新的IP地址即可��。但如果您申請的SSL證書是為IP地址申請的,則服務器換了IP地址���,原來的SSL證書就不能用了。所以,要根據業務情況需要決定是為您的網站域名還是IP地址來申請證書���。
9、 如果改變了硬件、軟件(web server),SSL證書是否需要重新申請���?
SSL服務器證書與硬件無關,如果系統和web server版本相同,也不會有任何影響����。但如果改變了服務器軟件�����,證書就要重新申請。因為SSL服務器證書不可以更換平臺使用��。
10�����、 IIS上如何在同一個站點上請求多張證書�,或更新�、更換證書
微軟IIS 6.0中,每一個網站只允許同時發出一個CSR請求�����。如果在已有的請求之上重新創建一個新的CSR請求����,原始請求(和私鑰)將被覆蓋。所以在正式提交CSR請求后�����,請不要在原有站點上對服務器做證書方面的配置����。
如果要為同一個站點請求多張證書,或更新����、更換證書�����,可以先創建一個臨時站點�,在臨時站點上做證書的請求操作。在證書正確安裝到臨時站點上之后�,則可以刪除該臨時站點���,并在正式的站點上用“指派現有證書”或“替換當前站點證書”的方式來切換證書的應用�。
轉自:http://blog.sina.com.cn/s/blog_5fb9ce0e0100gt71.html