折腾:
【未解决】购买阿里云首年免费的https证书:Symantec免费型DV SSL证书
之前,先去整理一下基本知识。
参考:
“选择证书品牌(CA供应商)
目前,支持阿里云颁发数字证书的安全CA中心包括:
Symantec:赛门铁克(Symantec)是全球第一大数字证书颁发机构、全球最值得信赖的SSL证书品牌,所有证书都采用业界领先的加密技术,为不同的网站和服务器提供安全解决方案。
CFCA: 中国金融认证中心(CFCA)通过国际WebTrust认证,遵循全球统一鉴证标准,是国际CA浏览器联盟组织成员。CFCA全球信任SSL证书,由中国权威数字证书认证机构自主研发,纯国产证书。CFCA提供 7×24 小时金融级的安全保障服务,且有完善的风险承保计划。提供中文版全球信任体系电子认证业务规则(CPS),便于用户理解双方权利和义务。
说明
CFCA服务器证书目前不支持苹果 iOS 10.1 及 10.1 以前的版本,不支持安卓 6.0 及以前的版本。
GeoTrust: GeoTrust 是全球第二大数字证书颁发机构, 也是身份认证和信任认证领域的领导者,采用各种先进的技术使任何大小的机构和公司都能安全、低成本地部署SSL数字证书和实现各种身份认证。
GlobalSign: GMO GlobalSign是全球最早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。
选择证书类型
阿里云联合有资质的CA中心推荐以下几种数字证书配置组合方案:
说明
不同品牌(CA供应商)提供的证书类型可能不同,例如GlobalSign目前仅提供专业版OV型证书。
免费型DV SSL: 免费型DV SSL证书是基础级SSL产品。
说明
目前仅Symantec提供免费型数字证书,该证书仅支持绑定一个域名。
只验证域名所有权,数小时内即可颁发。
只提供通信链路加密功能。
根证书一般使用CA中心认证的根证书。
支持绑定一个明细子域名,且不支持通配符域名。
通配符DV SSL:通配符DV SSL证书属于DV型SSL证书(Domain Validation SSL)。
只验证域名所有权,数小时内即可颁发。
提供高强度通信链路加密功能。
支持绑定一个带有通配符的域名。
专业版OV SSL: 专业版OV SSL证书属于OV型SSL证书(Organization Validation SSL)。
验证域名所有权和申请单位的真实身份,解决在线信任问题。
证书中显示申请者的企业单位名称,让访问用户安心使用。
提供高强度通信链路加密功能。
支持最多绑定100个域名,支持绑定通配符域名。
说明
除专业版OV SSL证书外,Symantec还提供增强型OV SSL证书。增强型OV SSL证书采用ECC椭圆曲线算法。
高级版EV SSL:高级版EV SSL证书属于EV型SSL证书(Extended Validation SSL)。
严格验证域名所有权和申请单位的真实身份。
证书在大部分浏览器中能显示绿色地址栏(部分证书在Safari浏览器中不显示),有效解决在线信任和网站被假冒问题。
证书中详细显示申请者的企业单位信息,让访问用户安心使用。
提供高强度通信链路加密功能。
支持最多绑定100个域名。
说明
除高级版EV SSL证书外,Symantec还提供增强型EV SSL证书。增强型EV SSL证书采用ECC椭圆曲线算法。
选择保护域名类型和个数
您在购买数字证书前,需要先规划好您需要保护什么样类型的域名和需要保护的域名个数,您可以选择保护一个、多个、或通配符域名。
1 个域名:您的数字证书只可以保护一个域名,且不支持通配符。例如,buy.example.com。
多个域名: 您的数字证书可以保护多个域名,根据证书种类不同有数量限制。一般数量上限为100个,您可根据域名个数进行选择,不支持通配符。例如,buy1.example.com;buy2.example.com。
通配符域名:您的数字证书可以保护一个带通配符的泛域名(暂不支持购买多个通配符子域名型证书)。例如,申请*.example.com,可以保护a1.example.com ,a2.example.com等域名,但不能保护 a1.sport.example.com,a2.thanks.example.com之类的域名。
说明
在后续填写域名资料时,阿里云会对您选择的域名数量和类型的进行校验。如果您选择保护多个域名,您需要一次性提交全部域名。
选择证书有效期
您所选择数字证书的有效期年限。数字证书的有效期是在审核通过后开始计算,支持选择一年或两年。
说明
免费版DV SSL证书限定最高申请年限为一年。 “
“证书的类型根据认证的级别可以分为以下三种
- 域名认证(Domain Validation):最低级别认证,可以确认申请人拥有这个域名。对于这种证书,浏览器会在地址栏显示一把锁。
- 公司认证(Company Validation):确认域名所有人是哪一家公司,证书里面会包含公司信息。
- 扩展认证(Extended Validation):最高级别的认证,浏览器地址栏会显示公司名。
根据覆盖的范围又可以分为以下三种
- 单域名证书:只能用于单一域名,foo.com的证书不能用于www.foo.com
- 通配符证书:可以用于某个域名及其所有一级子域名,比如*.foo.com的证书可以用于foo.com,也可以用于www.foo.com
- 多域名证书:可以用于多个域名,比如foo.com和bar.com
“
https证书 EV
【总结】
- https证书提供商:
- 本来是很多厂家:
- Symantec=赛门铁克 / Digicert:
- 全球第一大数字证书颁发机构、全球最值得信赖的SSL证书品牌,所有证书都采用业界领先的加密技术,为不同的网站和服务器提供安全解决方案
- 说明:Digicert 于 2017年12月1日 并购了Symantec证书服务部分
- 所有新申请的 Symantec/GeoTrust 品牌证书,切换到 Digicert+Symantec 交叉认证 PKI 体系下签发
- CFCA=中国金融认证中心
- 通过国际WebTrust认证,遵循全球统一鉴证标准,是国际CA浏览器联盟组织成员。CFCA全球信任SSL证书,由中国权威数字证书认证机构自主研发,纯国产证书。提供中文版全球信任体系电子认证业务规则(CPS),便于用户理解双方权利和义务。
- 特殊说明:
- CFCA服务器证书目前不支持苹果 iOS 10.1 及 10.1 以前的版本,不支持安卓 6.0 及以前的版本。
- GeoTrust
- 全球第二大数字证书颁发机构, 也是身份认证和信任认证领域的领导者,采用各种先进的技术使任何大小的机构和公司都能安全、低成本地部署SSL数字证书和实现各种身份认证。
- GlobalSign=GMO GlobalSign
- 全球最早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。
- 其他一些:
- Let’s Encrypt:
- 特点:
- 免费提供https证书
- 常用于各种中小型网站上面
- 优点:免费
- 缺点:流量器的内置根证书列表中没有Let’s Encrypt
- 导致移动端中不支持小程序?
- 不靠谱的:
- 沃通 (WoSign) / StartCom
- WoSign之前有不当行为,导致:Chrome,Mozilla等停止信任WoSign证书
- 注:
- 沃通与2015 年 8 月100%收购了StartCom
- StartSSL.com 是 StartCom 的网站
- 奇虎 360 持有沃通 84% 的股份
- CNNIC=中国互联网络信息中心
- CNNIC 的根证书都已经被各大浏览器和操作系统吊销
- 连它自己的网站都在使用 DigiCert 颁发的证书。
- 阿里云:阿里云做了一站式整合
- 阿里云提供了整合了很多家的https服务,可以直接在阿里云中直接买各家的https证书
- 证书类型
- 域名型=最基础的DV=DV SSL=Domain Validation SSL=域名验证SSL
- 特点:
- 简易型(Class 1级)SSL证书
- 只验证域名所有权,数小时内即可颁发。
- 根证书一般使用CA中心认证的根证书。
- 常见使用对象:
- 博客,论坛等对信息安全要去不严格的个人网站
- 类型:
- 免费型
- 支持绑定一个明细子域名,且不支持通配符域名。
- -》只能绑定a.exmple.com,不支持*.example.com
- 只提供通信链路加密功能。
- 价格:
- 提示:阿里云目前有个优惠:Symantec的DV首年免费
- 通配符型
- 支持绑定一个带有通配符的域名。
- 支持*.example.com
- 提供高强度通信链路加密功能。
- 组织型=OV SSL=Organization Validation SSL=组织验证SSL
- 特点:
- 验证域名所有权和申请单位的真实身份
- 需要提交企业营业执照、组织机构代码证等材料
- -》知道是谁申请的证书
- 提供高强度通信链路加密功能。
- 支持最多绑定100个域名,支持绑定通配符域名。
- 常见使用对象:
- 行政、企业、科研、邮箱、论坛等大中型网站
- 价格:
- 单个域名:大约 4000元/年
- 通配符域名:大约 10000元/年
- 不同的OV类型价格又不同:
- 专业版OV SSL:8000元+/年
- 增强型OV SSL:14000元+/年
- 增强型=EV SSL=Extended Validation SSL=扩展验证型SSL 证书
- 特点:
- (Class 4级)SSL证书
- 业界最高安全级别的SSL证书
- 部署了EV SSL证书的网站,不仅浏览器地址栏会显示安全锁标志,而且浏览器地址栏会变成绿色
- EV 证书价格较为昂贵
- 需要 CA 机构人工验证组织和电话信息
- 需要提交企业营业执照、组织机构代码证等材料
- 还需要律师函的审核
- 签发时间在 1 – 5 个工作日不等
- 常见使用对象:
- 银行、保险、金融机构、电子商务网站、大型企业等对安全需求较高的网站
- 类型:
- 高级版 EV SSL:14000元+/年
- 增强型 EV SSL: 21000元+/年
证书举例:
DV、OV在地址栏的显示 EV在地址栏的显示 举例:
另外:
说了:
小程序对于https证书的要求:
“小程序必须使用 HTTPS/WSS 发起网络请求。请求时系统会对服务器域名使用的 HTTPS 证书进行校验,如果校验失败,则请求不能成功发起。由于系统限制,不同平台对于证书要求的严格程度不同。为了保证小程序的兼容性,建议开发者按照最高标准进行证书配置,并使用相关工具检查现有证书是否符合要求。
对证书要求如下:
- HTTPS 证书必须有效;
- 证书必须被系统信任,即根证书被已系统内置
- 部署 SSL 证书的网站域名必须与证书颁发的域名一致
- 证书必须在有效期内
- 证书的信任链必需完整(需要服务器配置)
- iOS 不支持自签名证书;
- iOS下证书必须满足苹果 App Transport Security (ATS) 的要求;
- TLS 必须支持 1.2 及以上版本。部分旧 Android 机型还未支持 TLS 1.2,请确保 HTTPS 服务器的 TLS 版本支持 1.2 及以下版本;
- 部分 CA 可能不被操作系统信任,请开发者在选择证书时注意小程序和各系统的相关通告。
”
转载请注明:在路上 » 【整理】https证书 SSL证书基本知识