技术支持中心>证书相关>SSL证书申请流程详解

  • SSL证书申请流程详解


    SSL证书申请流程一般分为以下几步

    1.生成私钥和CSR

    在整套证书基础设施的所有操作中,私钥的明文都是不能经过网络传输的。所以,第一步用户生成一个证书,私钥保存在自己的电脑上,然后生成 证书签名请求发送给 CA机构。

    生成证书的时候,必须在 通用名一栏填入待申请域名,这也保证了不同域名的 SSL证书 不能通用。

    证书申请的真正含义是,请求一个 CA机构 对你的 CSR 进行签名,CA 机构 签名之后,你生成的这个证书才会受到各大浏览器的信任,否则只能当做自签名的证书,在自己的设备上手动配置信任。

    2. 发送给 CA

    这一步很好理解,就是把上一步生成的 CSR 以各种方式发送给 CA机构,请求签名。

    各个 CA机构 不同等级的证书价格也不一样,但在用户看来,证书其实只有两个级别,带 EV认证 和 不带EV认证,也就是带不带绿标,这一点在下面提到。

    3. CA机构 验证申请人身份

    CA机构 绝对不会来者不拒的,这样随便一个人就可以申请到别人域名的证书了,这样 SSL加密 就没有意义了。

    因此 CA机构 在用户购买证书,提交 CSR 之后,会进行域名控制验证 ,验证申请人是否拥有域名控制权。

    CA机构 验证申请人身份一般有几个方法:

    Email 验证,CA机构 向待申请域名的某些固定邮箱 (诸如 postmaster@example.com, webmaster@example.com) 发送验证链接,用户点击链接即可进行验证。
    DNS 验证,CA机构 要求申请人在待申请域名的某个随机子域名上添加一条指定的TXT记录,如果申请人添加成功,即通过验证。
    Web 验证,CA机构 要求申请人在待申请域名的 HTTP 服务下,放入一个特定的文件,如果 CA机构 能够访问到这个文件,并且内容和要求的一致,即通过验证。也有一些机构会要求在页面 中加入特定的信息,但是基本的概念是一致的。

    4. 发送证书

    CA机构 验证完成后,会对用户 CSR 进行签名,并发回申请人,这样申请人就拿到一个受浏览器信任的证书了。

  • 在线咨询