一.SSL证书
(1)概念
SSL证书(SSL Certificates)是HTTP明文协议升级HTTPS加密协议必备的数字证书。它在客户端(浏览器)与服务端(网站服务器)之间搭建一条安全的加密通道,对两者之间交换的信息进行加密,确保传输数据不被泄露或篡改。
网站部署全球信任的SSL证书,浏览器将直观展示网站认证信息和安全标识,访问地址由”Http”明文访问,变成了”Https“加密访问,显示醒目安全锁,点击安全锁,可查看网站认证的详细信息;使用*别EV SSL证书,浏览器显示绿色地址栏,单位名称及颁发机构在地址栏上交替显示。
(2)去哪里申请
可以通过阿里云或腾讯云 进行申请,还有很多网站提供申请,比如百度云,360等等。以在阿里云上申请为例,选择的文件验证方式,需要将阿里云提供的WebRoot/.well-known/pki-validation/fileauth.txt放到工程里。CSR文件,有自己的CSR文件可以直接粘贴到阿里云,也可以选择阿里云生成CSR文件。
二.CSR
-
CSR是什么
CSR是Certificate Signing Request的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。在申请数字证书之前,您必须先生成证书私钥和证书请求文件(CSR,Cerificate Signing Request),CSR是您的公钥证书原始文件,包含了您的服务器信息和您的单位信息,需要提交给CA认证中心。在生成CSR文件时会同时生成私钥文件,请妥善保管和备份您的私钥。
-
CSR什么样
CSR是以-----BEGIN CERTIFICATE REQUEST-----开头,-----END CERTIFICATE REQUEST-----为结尾的base64格式的编码。将其保存为文本文件,就是所谓的CSR文件。 -
CSR如何生成
使用离线工具生成和处理私钥,如OpenSSL。方法:https://www.trustauth.cn/csr/593.html
https://www.cnblogs.com/lhj588/p/6069890.html目前,CSR生成工具非常多,比如openssl工具,keystore explore,XCA等,这里介绍一款在线工具:https://myssl.com/csr_create.html
这里有几个关键的要注意下:
域名必须正确输入(如果是非SSL证书,则输入相应的通用名)。
**算法选择RSA的话,**长度需要2048bit以上(这个默认是2048,没有特殊情况,不要特殊设置);ECC则是256bit以上。
摘要签名虽说目前可以任意,但建议是sha2-256以上。
点击【生成】,生成CSR文件和KEY文件:
-
CSR生成注意事项
有CSR必定有KEY,是成对的,CSR最终变成为证书,和私钥key配对使用。Key是以-----BEGIN RSA PRIVATE KEY-----开头的,-----END RSA PRIVATE KEY-----结尾的。Key必须保存好。
-
CSR生命周期
证书下发后,CSR无需使用,仅提交时候需要。
三.主流证书格式
有jks crt key等。这些主流证书格式之间是可以互相转换的。详情见:
https://blog.csdn.net/zltAlma/article/details/89351841
参考:
https://www.trustasia.com/news-201801-what-is-the-role-and-generation-of-csr-and-csr
https://www.cnblogs.com/lhj588/p/6069873.html