HTTPS證書詳解

一、證書概述

HTTPS(SSL/TLS)協議是HTTP協議加上SSL/TLS協議實現的安全協議。在HTTPS中，SSL/TLS協議主要是用來解決安全問題，其中具體的實現方式，就是通過使用HTTPS證書來確保通信雙方的身份及數據傳輸的安全。

HTTPS證書(SSL/TLS證書)是一份數碼證書，用於驗證某個網絡地址的身份。證書通常被用於公開網絡，如萬維網，用於驗證某個網站及其身份認證機構（CA）的身份，從而保護傳輸的數據的隱私性和完整性。

HTTPS證書包含以下信息：

證書持有人的公共密鑰
證書持有人的名稱或 ID
證書的過期日期
一份由證書頒發機構簽名的證書序列號

二、證書頒發機構(CA)

證書頒發機構(CA)是負責製作、驗證和簽發證書的機構。在數字證書域名驗證過程中，CA會檢查該域名是否屬於申請證書的請求，如果通過驗證後會向該域名的擁有者發放證書。驗證網站的域名和身份是CA的核心職責，在驗證過程中CA可能會請求域名所有者提供相關的信息以便核對，包括域名所有權、組織結構等。

常見的CA有如下幾個：

Comodo
Digicert
Symantec
Let’s Encrypt

三、證書類型

1. DV證書(Domain Validated Certificate)

DV證書是一種基本的HTTPS證書，最便宜、最容易獲得的證書。它只驗證證書請求中所列出的域名是否由請求人擁有和控制，但不驗證請求人的身份。這種證書可以保障數據的機密性，但不能保證身份的真實性。

2. OV證書(Organization Validated Certificate)

OV證書是比DV證書更複雜的證書。該證書除了驗證請求人是否擁有相應域名的控制權之外，還會驗證請求人是否是一家合法的企業或組織。它能保護數據的機密性以及用於身份認證，提升網站在客戶眼中的信譽度。

3. EV證書(Extended Validation Certificate)

EV證書和OV證書類似，但證書頒發機構會對企業或組織進行更加嚴格的審核。可以為網站帶來綠色的地址欄、企業或組織名稱。這種證書是最顯著和最全面的身份驗證證書，可以讓訪問者更加輕鬆地與擁有該證書的組織建立信任，增加交易成功率。

四、證書安裝和配置

安裝並配置HTTPS證書需要在Web服務器上進行操作。以下以Nginx服務器為例進行簡單介紹。

1. 證書申請

在申請證書前，需要創建自己的CSR文件。


$ openssl req -new -newkey rsa:2048 -nodes -keyout example.com.key -out example.com.csr

註：將example.com替換成你想要使用的域名。

CSR完成後，開始購買證書，在購買證書時需要將 CSR文件中的內容提交給證書頒發機構，機構驗證後頒發證書。

2. 證書安裝與配置

購買證書後，可以在證書頒發機構網站上下載證書。下載得到的文件包括證書、私鑰和CA證書。

在Nginx的配置文件中添加以下內容：


server {
  listen       443 ssl http2;
  server_name  example.com;

  ssl_certificate /path/to/ssl/cert;
  ssl_certificate_key /path/to/private/key;

  ssl_session_timeout 5m;

  ssl_protocols TLSv1.2 TLSv1.3;
  ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
  ssl_prefer_server_ciphers on;

  location / {
    proxy_pass http://127.0.0.1:8080;
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  }
}

其中，listen 443 ssl http2; 表示監聽443端口並啟用HTTPS。

更多Nginx的HTTPS配置詳見官方文檔。

五、證書有效期限

HTTPS證書的有效期可以是幾個月甚至幾年。不同的證書有效期價格不同，根據情況選擇自己需要的證書有效期即可。

六、結語

HTTPS證書是保證網站交互過程安全的一種重要手段。在使用HTTPS證書時，需要注意證書類型、頒發機構、安裝配置方法以及證書有效期等方面。在確保證書合法的前提下，正確使用HTTPS證書可以確保用戶數據信息的安全，增加網站的可信度和用戶對網站的信任感。

原創文章，作者：小藍，如若轉載，請註明出處：https://www.506064.com/zh-hk/n/227218.html