全部产品
Search
文档中心

数字证书管理服务:基本概念

更新时间:Sep 14, 2024

本文档介绍了使用阿里云数字证书管理服务时需要了解的基本概念。

数字证书

数字证书是一个经权威授权机构数字签名,包含公开密钥的拥有者信息以及公开密钥的文件,是权威机构颁发给网站的可信凭证。最简单的证书包含一个公开密钥、证书名称以及证书授权中心的数字签名。

数字证书的一个重要特征:只在特定的时间段内有效。

CA认证中心

CA认证中心(CA机构),即证书授权中心(Certificate Authority)或称证书授权机构。

CA认证中心作为电子商务交易中受信任的第三方,承担公钥体系中公钥合法性检验的责任。

证书有效期

自2020年09月01日起,全球CA颁发的证书有效期最长为397天(13个月)。您通过阿里云数字证书管理服务购买的正式SSL证书,有效期都是13个月。个人测试证书(免费版)有效期为3个月。个人测试证书(pro)有效期为12个月。

SSL

安全套接层SSL(Secure Sockets Layer)协议是一种可实现网络通信加密的安全协议,可在浏览器和网站之间建立加密通道,保障数据在传输的过程中不被篡改或窃取。

SSL证书

SSL证书采用SSL协议进行通信,是由权威机构颁发给网站的可信凭证,具有网站身份验证和加密传输双重功能。

SSL证书指定了在应用程序协议(例如,HTTP、Telnet、FTP)和TCP/IP之间提供数据安全性分层的机制。它是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

SSL证书采用公钥体制,即利用一对互相匹配的密钥对进行数据加密和解密。每个用户自己设定一把特定的、仅为本人所知的私有密钥(私钥),并用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。

SSL证书部署到Web服务器后,您通过Web服务器访问网站时将启用HTTPS协议。您的网站将会通过HTTPS加密协议来传输数据,可帮助您的Web服务器和客户端浏览器间建立可信的加密链接,从而保证网络数据传输的安全。

关于证书私钥的详细介绍,请参见什么是公钥和私钥?

根证书

根证书是证书颁发机构(CA)自签名颁发的,扮演着信任的角色,是证书信任链的起始,用于验证由该CA签发的所有下级证书的真实性。

受信任CA的根证书一般都会预装在操作系统(Windows、macOS、Linux发行版等)、主流浏览器(Chrome、Firefox等)或移动设备(iOS和Android等移动操作系统)中,因此通常情况下在安装CA签发的SSL证书后,都会自动验证SSl证书的真实性。

中间证书

中间证书是位于根证书和用户实体证书(SSL证书)之间,由上级CA签发给下级CA的证书。

中间证书是为了降低由根证书签发SSL证书所带来的风险。例如,如果发生错误颁发或者需要撤销根证书,则使用根证书签名的每个证书都会将不受信。因此,为了避免这种风险发生,通常使用中间证书的私钥来签名用户申请的SSL证书。

证书链

证书链包含根证书、中间证书和最终实体证书(SSL证书),其目的是为了验证SSL证书的真实性和有效性。例如,当一个浏览器(客户端)与Web应用服务器建立HTTPS连接时,服务器会发送SSL证书以及可能需要的全部中间证书给客户端。客户端会验证每个SSL证书是否是上级证书正确签发的,直至追溯到一个受信任的根证书。如果验证失败(证书过期失效,非信任的CA签发等),客户端与服务器的通信将不安全。

HTTPS

HTTPS也就是HTTP+SSL,基于SSL协议的网站加密传输协议,是HTTP的安全版。

您的网站安装SSL证书后,将会通过HTTPS加密协议来传输数据,HTTPS加密传输协议可激活客户端浏览器到网站服务器之间的SSL加密通道(SSL协议),从而实现高强度双向加密传输,防止传输数据被泄露或篡改。

域名

域名是IP地址的代称,由一串用半角句号(.)分隔的名称组成,在数据传输时用来标识一台服务器或服务器组。

单域名是最简单的域名,例如,www.aliyundoc.com。

通配符域名是指对应一个主域名及其所有次级子域名的域名。

通配符证书

通配符证书也叫泛域名证书,证书绑定的域名为通配符域名(例如*.aliyundoc.com)时,即称该证书为通配符域名证书。

多通配符证书是指绑定多个通配符域名的证书。数字证书管理服务只支持申请单个通配符域名的证书,不支持申请多通配符域名的证书。您可以通过合并多个相同品牌、类型的证书,生成多通配符证书。具体操作,请参见证书合并申请

混合域名证书

混合域名证书是指绑定的域名既包括单域名,也包括通配符域名的证书。例如,绑定的域名为*.aliyundoc.comdemo.example.com,即称该证书为混合域名证书。

数字证书管理服务不支持申请混合域名证书,您可以通过合并多个相同品牌、类型的证书,生成混合域名证书。具体操作,请参见证书合并申请

Nginx

Nginx是一款轻量级高并发的Web服务器、反向代理服务器和电子邮件(IMAP和POP3)代理服务器,在BSD-like协议下发行。它可以运行在Linux、Windows、FreeBSD、Solaris、AIX、Mac OS等操作系统上,为您提供反向代理、负载均衡、动静分离等服务。

Tengine

Tengine是由淘宝网发起的Web服务器项目,它继承Nginx的所有特性、兼容Nginx的配置。

PuTTY

PuTTY是一款Telnet、SSH、rlogin、纯TCP以及串行接口连接软件,它可以远程管理Linux和Windows操作系统。

Xshell

Xshell是一款强大的安全终端模拟软件,它支持SSH1、SSH2、Microsoft Windows平台的Telnet协议。Xshell可以在Windows界面下远程管理不同系统下的服务器,从而达到比较好的远程控制终端的目的。Xshell支持VT100、VT220、VT320、Xterm、Linux、SCO ANSI、ANSI终端仿真,并提供各种终端外观选项取代传统的Telnet客户端。

CentOS

社区企业操作系统CentOS(Community Enterprise Operating System)是一个基于Red Hat Linux提供的可自由使用源代码的免费版企业级Linux发行版本。

CSR

CSR(Certificate Signing Request)是证书签名请求文件,包含了您的服务器信息和公司信息。申请证书时需要将您证书的CSR文件提交给CA认证中心审核,CA中心对CSR文件进行根证书私钥签名后会生成证书公钥文件(即签发给您的SSL证书)。