SSL 证书(现行行业标准为 TLS 证书)是一种数字证书,用于验证网站身份并加密浏览器与服务器之间的通信。证书由受信任的证书颁发机构 (CA) 签发,是实现 HTTPS 协议、保障数据传输安全与完整性的基础。本文介绍 SSL 证书的核心价值、工作原理和使用流程。
核心价值
部署SSL/TLS证书是现代网站的必要安全措施,主要解决以下问题:
数据加密:通过加密客户端(如浏览器)与 Web 服务器之间的传输数据,防止敏感数据被非法截取或篡改。
身份验证:验证服务器的合法性,防止用户访问仿冒或钓鱼网站。
提升浏览器信任:消除浏览器“不安全”警告,在地址栏显示安全锁标志。
合规性保障:满足等保 2.0、PCI DSS 等网络安全与数据保护法规的要求。
搜索引擎优化 (SEO):主流搜索引擎会优先索引 HTTPS 网站,有助于提升搜索排名。
工作原理
SSL/TLS 协议采用混合加密机制:通过非对称加密验证身份,通过对称加密传输数据。
证书签发与验证(信任链构建)
生成请求:服务器生成密钥对(RSA 2048 位或 ECC 256 位),将公钥及组织信息封装为 CSR(证书签名请求)。
CA 签名:CA 验证域名所有权后,从 CSR 中提取公钥和申请者信息,结合颁发者信息、有效期及扩展字段构造证书内容,使用 CA 私钥进行数字签名,生成符合 X.509 标准的证书。
信任传递:浏览器通过预置的根证书逐级验证服务器证书签名,建立信任链。
加密会话建立(TLS 握手)
握手启动:客户端发送
ClientHello消息,包含支持的协议版本和密码套件列表。证书传递:服务器响应
ServerHello消息并发送证书链。身份验证:客户端验证证书的有效期和域名匹配性,并通过 CRL(证书吊销列表)或 OCSP(在线证书状态协议)确认证书未被吊销。部分部署采用 OCSP Stapling 技术优化此过程。
密钥交换:双方通过密钥交换机制生成会话密钥。
ECDHE 模式(推荐):双方各自生成临时密钥对并交换公钥,独立计算出相同的会话密钥。
RSA 模式(传统):客户端生成预主密钥,使用服务器公钥加密后传输;服务器解密后,双方派生会话密钥。
对称通信:握手完成后,所有数据使用会话密钥进行对称加密传输。
证书中的公钥(基于 RSA、ECC 或 SM2 算法)用于验证服务器身份和建立密钥交换的安全通道。实际数据传输使用协商生成的对称密钥(如 AES)加密,以保证性能。更多信息,请参见什么是公钥和私钥。
使用流程
购买证书
创建证书
若购买时未绑定域名,需创建证书,将购买的额度与域名进行关联。在创建过程中,系统提供快捷签发选项:
勾选快捷签发:需要填写申请信息。创建完成后,系统将自动向CA提交证书申请,后续只需配合完成域名所有权验证。
未勾选快捷签发:创建完成后,需要登录证书控制台手动填写并提交申请,具体操作可参见向CA(证书颁发机构)提交申请。
证书列表仅显示已成功绑定域名的证书,未绑定域名的证书在完成“创建证书”操作后即可见。
申请证书
部署证书
当CA审核通过且证书状态为“已签发”后,需要将证书文件部署到您的 Web 服务器(例如 Nginx、Apache 或 IIS)或云产品中,从而为站点启用 HTTPS 功能。具体操作请参见部署SSL证书。
后续操作
证书续费
SSL 证书到期后需及时续费或重新申请,同时安装新的SSL证书来继续保持网站的加密连接和安全性。具体操作请参见SSL证书续费与到期处理。
证书吊销
若证书不再使用可对其进行吊销。具体操作请参见吊销和删除SSL证书。
吊销操作不可逆。吊销后的证书将从 CA 的可信列表中移除,浏览器和客户端在验证时会将其识别为无效证书,并向访问者显示访问安全警告。
常见问题
购买后证书找不到怎么办?
若您购买时未填写域名信息,购买完成后得到是证书创建资格,不会直接在证书列表中展示。您需要创建SSL证书,绑定域名后才能在列表中看到。
SSL证书支持中文域名吗?
支持。如果您绑定的是中文域名,需按照控制台提示转换成Punycode码,才能申请证书。您也可以使用转码工具转换,具体操作请参见中文域名转换。
域名解析供应商不是阿里云,是否可申请阿里云SSL证书?
可以。 您只需完成域名所有权验证即可,这与域名服务商无关。
方案 | 操作方法 | 优点 |
在原服务商配置 | 登录您当前域名平台,添加从阿里云获取SSL证书验证记录 (TXT)。 说明 若有疑问请联系您的域名解析供应商。 | 快速直接,无需转移域名。 |
将域名转入阿里云 | 参考域名转入阿里云完成转入后,在云解析DNS控制台完成DNS解析配置。 重要 域名转入时您需交纳一年的续费费用,即域名转入价格为域名续费一年的价格。 | 方便未来证书续签和域名统一管理。 |