本文檔介紹了使用阿里雲數位憑證管理服務時需要瞭解的基本概念。
數位憑證
數位憑證是一個經權威授權機構數位簽章,包含公開密鑰的擁有者資訊以及公開密鑰的檔案,是權威機構頒發給網站的可信憑證。最簡單的認證包含一個公開密鑰、認證名稱以及認證授權中心的數位簽章。
數位憑證的一個重要特徵:只在特定的時間段內有效。
CA認證中心
CA認證中心(CA機構),即認證授權中心(Certificate Authority)或稱認證授權機構。
CA認證中心作為電子商務交易中受信任的第三方,承擔公開金鑰體系中公開金鑰合法性檢驗的責任。
認證有效期間
自2020年09月01日起,全球CA頒發的認證有效期間最長為397天(13個月)。您通過阿里雲數位憑證管理服務購買的正式SSL認證,有效期間都是13個月。個人測試認證(免費版)有效期間為3個月。個人測試認證(pro)有效期間為12個月。
SSL
安全套接層SSL(Secure Sockets Layer)協議是一種可實現網路通訊加密的安全性通訊協定,可在瀏覽器和網站之間建立加密通道,保障資料在傳輸的過程中不被篡改或竊取。
SSL認證
SSL認證採用SSL協議進行通訊,是由權威機構頒發給網站的可信憑證,具有網站身分識別驗證和加密傳輸雙重功能。
SSL認證指定了在應用程式協議(例如,HTTP、Telnet、FTP)和TCP/IP之間提供資料安全性分層的機制。它是在傳輸通訊協定(TCP/IP)上實現的一種安全性通訊協定,採用公開密鑰技術為TCP/IP串連提供資料加密、伺服器認證、訊息完整性以及可選的客戶機認證。
SSL認證採用公開金鑰體制,即利用一對互相匹配的金鑰組進行資料加密和解密。每個使用者自己設定一把特定的、僅為本人所知的私人密鑰(私密金鑰),並用它進行解密和簽名;同時設定一把公用密鑰(公開金鑰)並由本人公開,為一組使用者所共用,用於加密和驗證簽名。
SSL認證部署到Web伺服器後,您通過Web伺服器訪問網站時將啟用HTTPS協議。您的網站將會通過HTTPS加密協議來傳輸資料,可協助您的Web伺服器和用戶端瀏覽器間建立可信的加密連結,從而保證網路資料轉送的安全。
關於認證私密金鑰的詳細介紹,請參見什麼是公開金鑰和私密金鑰?。
根憑證
根憑證是憑證授權單位(CA)自簽名頒發的,扮演著信任的角色,是認證信任鏈結的起始,用於驗證由該CA簽發的所有下級認證的真實性。
受信任CA的根憑證一般都會預裝在作業系統(Windows、macOS、Linux發行版等)、主流瀏覽器(Chrome、Firefox等)或行動裝置(iOS和Android等移動作業系統)中,因此通常情況下在安裝CA簽發的SSL認證後,都會自動驗證SSl認證的真實性。
中間認證
中間認證是位於根憑證和使用者實體認證(SSL認證)之間,由上級CA簽發給下級CA的認證。
中間認證是為了降低由根憑證簽發SSL認證所帶來的風險。例如,如果發生錯誤頒發或者需要撤銷根憑證,則使用根憑證簽名的每個認證都會將不受信。因此,為了避免這種風險發生,通常使用中間認證的私密金鑰來簽名使用者申請的SSL認證。
憑證鏈結
憑證鏈結包含根憑證、中間認證和最終實體認證(SSL認證),其目的是為了驗證SSL認證的真實性和有效性。例如,當一個瀏覽器(用戶端)與Web應用伺服器建立HTTPS串連時,伺服器會發送SSL認證以及可能需要的全部中間認證給用戶端。用戶端會驗證每個SSL認證是否是上級認證正確簽發的,直至追溯到一個受信任的根憑證。如果驗證失敗(認證到期失效,非信任的CA簽發等),用戶端與伺服器的通訊將不安全。
HTTPS
HTTPS也就是HTTP+SSL,基於SSL協議的網站加密傳輸協議,是HTTP的安全版。
您的網站安裝SSL認證後,將會通過HTTPS加密協議來傳輸資料,HTTPS加密傳輸協議可啟用用戶端瀏覽器到網站伺服器之間的SSL加密通道(SSL協議),從而實現高強度雙向加密傳輸,防止傳輸資料被泄露或篡改。
網域名稱
網域名稱是IP地址的代稱,由一串用半形句號(.)分隔的名稱組成,在資料轉送時用來標識一台伺服器或伺服器組。
單網域名稱是最簡單的網域名稱,例如,www.aliyundoc.com。
萬用字元網域名稱是指對應一個主網域名稱及其所有次級子網域名稱的網域名稱。
萬用字元認證
萬用字元認證也叫泛網域名稱認證,認證綁定的網域名稱為萬用字元網域名稱(例如*.aliyundoc.com)時,即稱該認證為萬用字元網域名稱認證。
多萬用字元認證是指綁定多個萬用字元網域名稱的認證。數位憑證管理服務只支援申請單個萬用字元網域名稱的認證,不支援申請多萬用字元網域名稱的認證。您可以通過合并多個相同品牌、類型的認證,產生多萬用字元認證。具體操作,請參見認證合并申請。
混合網域名稱認證
混合網域名稱認證是指綁定的網域名稱既包括單網域名稱,也包括萬用字元網域名稱的認證。例如,綁定的網域名稱為*.aliyundoc.com、demo.example.com,即稱該認證為混合網域名稱認證。
數位憑證管理服務不支援申請混合網域名稱認證,您可以通過合并多個相同品牌、類型的認證,產生混合網域名稱認證。具體操作,請參見認證合并申請。
Nginx
Nginx是一款輕量級高並發的Web伺服器、反向 Proxy伺服器和電子郵件(IMAP和POP3)Proxy 伺服器,在BSD-like協議下發行。它可以運行在Linux、Windows、FreeBSD、Solaris、AIX、Mac OS等作業系統上,為您提供反向 Proxy、負載平衡、動靜分離等服務。
Tengine
Tengine是由淘寶網發起的Web伺服器專案,它繼承Nginx的所有特性、相容Nginx的配置。
PuTTY
PuTTY是一款Telnet、SSH、rlogin、純TCP以及串列介面串連軟體,它可以遠端管理Linux和Windows作業系統。
Xshell
Xshell是一款強大的安全終端類比軟體,它支援SSH1、SSH2、Microsoft Windows平台的Telnet協議。Xshell可以在Windows介面下遠端管理不同系統下的伺服器,從而達到比較好的遠端控制終端的目的。Xshell支援VT100、VT220、VT320、Xterm、Linux、SCO ANSI、ANSI終端模擬,並提供各種終端外觀選項取代傳統的Telnet用戶端。
CentOS
社區企業作業系統CentOS(Community Enterprise Operating System)是一個基於Red Hat Linux提供的可自由使用原始碼的免費版企業級Linux發行版本。
CSR
CSR(Certificate Signing Request)是認證簽章要求檔案,包含了您的伺服器資訊和公司資訊。申請認證時需要將您認證的CSR檔案提交給CA認證中心審核,CA中心對CSR檔案進行根憑證私密金鑰簽名後會產生認證公開金鑰檔案(即簽發給您的SSL認證)。