Tool
说说数字证书的那些事
00 分钟
2024-2-12
2024-4-14
type
status
title
summary
slug
Created
Feb 12, 2024 03:50 AM
category
tags
Date
icon
password

一、前言

之所以有数字证书,是因为我们现在的网站大多使用HTTPS协议来保证通信的安全性,而在HTTPS协议中,使用了数字证书来保证服务端发送给客户端的公钥不被篡改
 
除了能够保证通信的安全性外,有证书的网站在一些浏览器(Chrome)会显示绿色的小锁,这还进一步提高了用户对网站的信任度
 
如果你对HTTPS的通信流程不是很熟悉,可以看看下面的文章来了解数字证书在HTTPS通信中发挥的作用
图解SSL/TLS协议 - 阮一峰的网络日志
本周,CloudFlare宣布,开始提供Keyless服务,即你把网站放到它们的CDN上,不用提供自己的私钥,也能使用SSL加密链接。
图解SSL/TLS协议 - 阮一峰的网络日志
https://www.ruanyifeng.com/blog/2014/09/illustration-ssl.html
HTTPS详解二:SSL / TLS 工作原理和详细握手过程
在上篇文章HTTPS详解一中,我已经为大家介绍了 HTTPS 的详细原理和通信流程,但总感觉少了点什么,应该是少了对安全层的针对性介绍,那么这篇文章就算是对HTT...
HTTPS详解二:SSL / TLS 工作原理和详细握手过程
https://segmentfault.com/a/1190000021559557
 
 

二、证书的类型

证书其实有很多细分类型,比如按适用的网站进行区分,有DV 证书OV 证书EV 证书三种类型:
notion image
注:以上内容来自于腾讯云
 
绑定的域名类型进行区分,有单域名、多域名和泛域名证书三种类型:
notion image
注:以上内容来自于腾讯云
 
 

三、免费证书与付费证书

证书有免费和付费之分,付费证书的兼容性较高,同时支持的年限,绑定的域名数量也会比免费的多,但同样费用也比较高,所以对于一些个人网站,优先选择的都是免费证书
notion image
注:以上图表来自腾讯云
 
 

四、证书的品牌

数字证书是由有公信力的机构颁发的,这些机构不会只有一个,所以证书的品牌也不少,像腾讯云支持的品牌就有这些:
notion image
 
但在免费证书的领域,比较出名的是Let's Encrypt,它是一家非营利性证书颁发机构,截止到目前,为3.63 亿个网站提供了免费的 SSL 证书。
 
它的优点有:
  • 免费:任何拥有域名的人都可以使用 Let’s Encrypt 免费获取受信的证书
  • 自动化:可以通过一些Let’s Encrypt 支持的客户端与其直接交互,以便轻松获取证书并自动续期
 
Let’s Encrypt 支持的客户端有Certbotacme.sh等,完整的客户端列表可以点击这里进行查看。
 
如果想了解acme.sh的使用,可以参考这篇文章:
基于Let's Encrypt生成免费证书-支持多域名泛域名证书 - DevOps在路上 - 博客园
[TOC] Let’s Encrypt是一个由非营利性组织互联网安全研究小组(ISRG)提供的免费、自动化和开放的证书颁发机构(CA)。 简单的说,借助Let’s Encrypt颁发的证书可以为我们的网站免费启用HTTPS(SSL/TLS) - https://letsencrypt.org/zh-
基于Let's Encrypt生成免费证书-支持多域名泛域名证书 - DevOps在路上 - 博客园
https://www.cnblogs.com/FLY_DREAM/p/14221136.html
 

五、免费证书获取

如果你是一些个人网站的证书,其实大部分云厂商都提供了免费的证书申请及下载,比如腾讯云就可以免费申请50个证书。当然你也可以使用 Let’s Encrypt 进行获取,更多的获取方式可以参考这篇文章
33种免费获取SSL证书的方式
从2018年7月1日开始,Chrome将显示所有未使用SSL证书的网站标记为“不安全”,而拥有SSL证书的网站的权重排名都会获得提升。 随着企业与网民网络安全意识的增加,全网正在走向全面https的时代,加密将无处不在,无…
33种免费获取SSL证书的方式
https://zhuanlan.zhihu.com/p/174755007
33种免费获取SSL证书的方式
 

六、自签名证书

自签名证书是由不受信的CA机构颁发的数字证书,也就是自己签发的证书。与受信任的CA签发的传统数字证书不同,自签名证书是由一些公司或软件开发商创建、颁发和签名的(或者自己)。虽然自签名证书使用的是与X.509证书相同的加密密钥对架构,但是却缺少受信任第三方(如Sectigo)的验证。在颁发过程中缺乏独立验证会产生额外的风险,这就是为什么对于面向公众的网站和应用程序来说,自签名证书是不安全的。
 
一般来说,在公司内网中搭建需要HTTPS通信的网站就会使用自签名证书,当然也有人为了方便也使用自签名证书。
 
自签名证书常见的工具有opensslkeytool,如果你是Linux系统,则使用openssl会比较方便,如果你有Java环境,则使用keytool比较方便。
 
使用openssl生成证书可以参考这个:
Openssl生成自签名证书,简单步骤 - 凝雨 - Yun
Openssl生成自签名证书,简单步骤
Openssl生成自签名证书,简单步骤 - 凝雨 - Yun
https://ningyu1.github.io/site/post/51-ssl-cert/
 
使用keytool生成证书可以参考这个:
Java生成SSL自签名证书及解析(keytool方式和源码方式) - 蚂蚁小哥 - 博客园
一:序 当需要在 Java 应用程序中使用 SSL/TLS 加密通信或进行身份验证时,证书是必不可少的。证书可以用来验证服务器的身份,并确保通信的安全性。在 Java 开发中,可以使用 JDK 自带的 keytool 工具生成自签名证书。而本文将介绍如何使用 JDK 的 keytool 工具生成自签
Java生成SSL自签名证书及解析(keytool方式和源码方式) - 蚂蚁小哥 - 博客园
https://www.cnblogs.com/antLaddie/p/17570047.html
 
或者嫌麻烦的可以直接使用网站生成:
CSR在线生成工具
在申请数字证书之前,必须先生成证书私钥和证书请求文件(CSR,Cerificate Signing Request),CSR是公钥证书原始文件,包含了服务器信息和单位信息,需要提交给CA认证中心。在生成CSR文件时会同时生成私钥文件,请妥善保管和备份您的私钥。本工具是CSR在线生成工具工具、生成CSR工具、ECC CSR文件生成、SSL证书的 ECC RSA文件生成、代码签名证书的 ECC RSA文件生成、国密SSL的 SM2文件生成、Certificate Signing Request Generator tools。
CSR在线生成工具
https://myssl.com/csr_create.html
SSL证书生成器 | RAKKOTOOLS🔧
生成免费的自签名SSL证书
SSL证书生成器 | RAKKOTOOLS🔧
https://zh.rakko.tools/tools/46/
SSL证书生成器 | RAKKOTOOLS🔧
 
 
 
上一篇
使用Docker和Bitnami镜像快速搭建本地Kafka环境
下一篇
五分钟快速搭建K8S单机版