很多網(wǎng)友其實(shí)也知道，我們現(xiàn)在能夠安全地瀏覽一個(gè)網(wǎng)址，與SSL數(shù)字證書(shū)作用離不開(kāi)關(guān)系。在SSL數(shù)字證書(shū)作用下，用戶的信息得到了很好地保護(hù)，使之不會(huì)被第三方截取。這也使得很多企業(yè)開(kāi)始為自己的網(wǎng)址部署SSL數(shù)字證書(shū)。但是在申請(qǐng)證書(shū)的時(shí)候，很多人便遇上了難題。申請(qǐng)數(shù)字證書(shū)的過(guò)程是怎么樣的？

申請(qǐng)數(shù)字證書(shū)的流程：

1、需要生成證書(shū)請(qǐng)求文件（CSR文件）：在申請(qǐng)證書(shū)之前，用戶需要先在對(duì)應(yīng)的服務(wù)器上制作一個(gè)CSR文件，而這個(gè)文件的公鑰將被用來(lái)生成私鑰；

2、申請(qǐng)數(shù)字證書(shū)：申請(qǐng)合適的數(shù)字證書(shū)，SSL數(shù)字證書(shū)有三種不同的分類(lèi)需要用戶根據(jù)自己網(wǎng)址的類(lèi)型申請(qǐng)相對(duì)應(yīng)的證書(shū)，申請(qǐng)的過(guò)程需要提交CSR文件：

①DV SSL：適用于中小型企業(yè)以及個(gè)人網(wǎng)站；

②OV SSL：適用于一般的公司企業(yè)以及金融機(jī)構(gòu)；

③EV SSL：適用于大型企業(yè)以及政府機(jī)構(gòu)的站點(diǎn)；

3、下載SSL證書(shū)：完成申請(qǐng)之后，在證書(shū)購(gòu)買(mǎi)的網(wǎng)址下根據(jù)提示下載對(duì)應(yīng)的SSL數(shù)字證書(shū)，并完成證書(shū)請(qǐng)求；

4、安裝數(shù)字證書(shū)：將下載好的數(shù)字證書(shū)連接至計(jì)算機(jī)，并進(jìn)行安裝；在申請(qǐng)站點(diǎn)的“添加”類(lèi)型中，選擇https類(lèi)型。

完成了以上步驟，就大致完成了證書(shū)申請(qǐng)以及安裝。最后只需要重新啟動(dòng)服務(wù)器，看看部署數(shù)字證書(shū)的網(wǎng)址的前綴是否由原來(lái)的http轉(zhuǎn)化為了https，若成功轉(zhuǎn)變，則安裝成功；若沒(méi)有，可以選擇重新啟動(dòng)服務(wù)器或是再次進(jìn)行以上的操作。

一、什么是數(shù)字證書(shū)

數(shù)字證書(shū)就 是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗(yàn)證您身份的方式，其作用類(lèi)似于司機(jī)的駕駛執(zhí)照或日常生活中的身份證。 它是由一個(gè)由權(quán)威機(jī)構(gòu)–CA機(jī)構(gòu)，又稱(chēng)為證書(shū)授權(quán)中心發(fā)行的，人們可以在網(wǎng)上用它來(lái)識(shí)別對(duì)方的身份。數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)授權(quán)中心(數(shù)安時(shí)代GDCA)數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件。最簡(jiǎn)單的證書(shū)包含一個(gè)公開(kāi)密鑰、名稱(chēng)以及證書(shū)授權(quán)中心的數(shù)字簽名。一般情況下證書(shū)中還包括密鑰的有效時(shí)間，發(fā)證機(jī)關(guān)(證書(shū)授權(quán)中心)的名稱(chēng)，該證書(shū)的序列號(hào)等信息，證書(shū)的格式遵循 ITUT X.509國(guó)際標(biāo)準(zhǔn)。

一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書(shū)包含以下一些內(nèi)容：

·證書(shū)的版本信息;

·證書(shū)的序列號(hào)，每個(gè)證書(shū)都有一個(gè)唯一的證書(shū)序列號(hào);

·證書(shū)所使用的簽名算法;

·證書(shū)的發(fā)行機(jī)構(gòu)名稱(chēng)，命名規(guī)則一般采用X.500格式;

·證書(shū)的有效期，現(xiàn)在通用的證書(shū)一般采用UTC時(shí)間格式，它的計(jì)時(shí)范圍為1950-2049;

·證書(shū)所有人的名稱(chēng)，命名規(guī)則一般采用X.500格式;

·證書(shū)所有人的公開(kāi)密鑰;

·證書(shū)發(fā)行者對(duì)證書(shū)的簽名。

二、為什么要用數(shù)字證書(shū)

基于Internet網(wǎng)的電子商務(wù)系統(tǒng)技術(shù)使在網(wǎng)上購(gòu)物的顧客能夠極其方便輕松地獲得商家和企業(yè)的信息，但同時(shí)也增加了對(duì)某些敏感或有價(jià)值的數(shù) 據(jù)被濫用的風(fēng)險(xiǎn)。買(mǎi)方和賣(mài)方都必須對(duì)于在因特網(wǎng)上進(jìn)行的一切金融交易運(yùn)作都是真實(shí)可靠的，并且要使顧客、商家和企業(yè)等交易各方都具有絕對(duì)的信心，因而因特網(wǎng)電子商務(wù)系統(tǒng)必須保證具有十分可靠的安全保密技術(shù)，也就是說(shuō)必須保證網(wǎng)絡(luò)安全的四大要素，即信息傳輸?shù)谋Ｃ苄浴?shù)據(jù)交換的完整性、 發(fā)送信息的不可否認(rèn)性、交易者身份的確定性。

1、信息的保密性

交易中的商務(wù)信息均有保密的要求。如信用卡的帳號(hào)和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競(jìng)爭(zhēng)對(duì)手獲悉，就可能喪失商機(jī)。因此在電子商務(wù)的信息傳播中一般均有加密的要求。

2、交易者身份的確定性

網(wǎng)上交易的雙方很可能素昧平生，相隔千里。要使交易成功首先要能確認(rèn)對(duì)方的身份，對(duì)商家要考慮客戶端不能是騙子，而客戶也會(huì)擔(dān)心網(wǎng)上的商店不是 一個(gè)玩弄欺詐的黑店。因此能方便而可靠地確認(rèn)對(duì)方身份是交易的前提。對(duì)于為顧客或用戶開(kāi)展服務(wù)的銀行、信用卡公司和銷(xiāo)售商店，為了做到安全、保密、可靠地 開(kāi)展服務(wù)活動(dòng)，都要進(jìn)行身份認(rèn)證的工作。對(duì)有關(guān)的銷(xiāo)售商店來(lái)說(shuō)，他們對(duì)顧客所用的信用卡的號(hào)碼是不知道的，商店只能把信用卡的確認(rèn)工作完全交給銀行來(lái)完 成。銀行和信用卡公司可以采用各種保密與識(shí)別方法，確認(rèn)顧客的身份是否合法，同時(shí)還要防止發(fā)生拒付款問(wèn)題以及確認(rèn)訂貨和訂貨收據(jù)信息等。

3、不可否認(rèn)性

由于商情的千變?nèi)f化，交易一旦達(dá)成是不能被否認(rèn)的。否則必然會(huì)損害一方的利益。例如訂購(gòu)黃金，訂貨時(shí)金價(jià)較低，但收到訂單后，金價(jià)上漲了，如收 單方能否認(rèn)受到訂單的實(shí)際時(shí)間，甚至否認(rèn)收到訂單的事實(shí)，則訂貨方就會(huì)蒙受損失。因此電子交易通信過(guò)程的各個(gè)環(huán)節(jié)都必須是不可否認(rèn)的。

4、不可修改性

交易的文件是不可被修改的，如上例所舉的訂購(gòu)黃金。供貨單位在收到訂單后，發(fā)現(xiàn)金價(jià)大幅上漲了，如其能改動(dòng)文件內(nèi)容，將訂購(gòu)數(shù)1噸改為1克，則可大幅受益，那么訂貨單位可能就會(huì)因此而蒙受損失。因此電子交易文件也要能做到不可修改，以保障交易的嚴(yán)肅和公正。

人們?cè)诟袊@電子商務(wù)的巨大潛力的同時(shí)，不得不冷靜地思考，在人與人互不見(jiàn)面的計(jì)算機(jī)互聯(lián)網(wǎng)上進(jìn)行交易和作業(yè)時(shí)，怎么才能保證交易的公正性和安全 性，保證交易雙方身份的真實(shí)性。國(guó)際上已經(jīng)有比較成熟的安全解決方案，那就是建立安全證書(shū)體系結(jié)構(gòu)。數(shù)字安全證書(shū)提供了一種在網(wǎng)上驗(yàn)證身份的方式。安全證 書(shū)體制主要采用了公開(kāi)密鑰體制，其它還包括對(duì)稱(chēng)密鑰加密、數(shù)字簽名、數(shù)字信封等技術(shù)。

我們可以使用數(shù)字證書(shū)，通過(guò)運(yùn)用對(duì)稱(chēng)和非對(duì)稱(chēng)密碼體制等密碼技術(shù)建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng)，從而保證：信息除發(fā)送方和接收方外不被其它人竊取;信息在傳輸過(guò)程中不被篡改;發(fā)送方能夠通過(guò)數(shù)字證書(shū)來(lái)確認(rèn)接收方的身份;發(fā)送方對(duì)于自己的信息不能抵賴。

三、數(shù)字證書(shū)原理介紹

數(shù)字證書(shū)采用公鑰體制，即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰(私鑰)，用它進(jìn)行解密和 簽名;同時(shí)設(shè)定一把公共密鑰(公鑰)并由本人公開(kāi)，為一組用戶所共享，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而 接收方則使用自己的私鑰解密，這樣信息就可以安全無(wú)誤地到達(dá)目的地了。通過(guò)數(shù)字的手段保證加密過(guò)程是一個(gè)不可逆過(guò)程，即只有用私有密鑰才能解密。在公開(kāi)密 鑰密碼體制中，常用的一種是RSA體制。其數(shù)學(xué)原理是將一個(gè)大數(shù)分解成兩個(gè)質(zhì)數(shù)的乘積，加密和解密用的是兩個(gè)不同的密鑰。即使已知明文、密文和加密密鑰 (公開(kāi)密鑰)，想要推導(dǎo)出解密密鑰(私密密鑰)，在計(jì)算上是不可能的。按現(xiàn)在的計(jì)算機(jī)技術(shù)水平，要破解目前采用的1024位RSA密鑰，需要上千年的計(jì)算 時(shí)間。公開(kāi)密鑰技術(shù)解決了密鑰發(fā)布的管理問(wèn)題，商戶可以公開(kāi)其公開(kāi)密鑰，而保留其私有密鑰。購(gòu)物者可以用人人皆知的公開(kāi)密鑰對(duì)發(fā)送的信息進(jìn)行加密，安全地 傳送給商戶，然后由商戶用自己的私有密鑰進(jìn)行解密。

用戶也可以采用自己的私鑰對(duì)信息加以處理，由于密鑰僅為本人所有，這樣就產(chǎn)生了別人無(wú)法生成的文件，也就形成了數(shù)字簽名。采用數(shù)字簽名，能夠確認(rèn)以下兩點(diǎn)：

(1)保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)。

(2)保證信息自簽發(fā)后到收到為止未曾作過(guò)任何修改，簽發(fā)的文件是真實(shí)文件。

數(shù)字簽名具體做法是:

(1)將報(bào)文按雙方約定的HASH算法計(jì)算得到一個(gè)固定位數(shù)的報(bào)文摘要。在數(shù)學(xué)上保證:只要改動(dòng)報(bào)文中任何一位，重新計(jì)算出的報(bào)文摘要值就會(huì)與原先的值不相符。這樣就保證了報(bào)文的不可更改性。

(2)將該報(bào)文摘要值用發(fā)送者的私人密鑰加密，然后連同原報(bào)文一起發(fā)送給接收者，而產(chǎn)生的報(bào)文即稱(chēng)數(shù)字簽名。

(3)接收方收到數(shù)字簽名后，用同樣的HASH算法對(duì)報(bào)文計(jì)算摘要值，然后與用發(fā)送者的公開(kāi)密鑰進(jìn)行解密解開(kāi)的報(bào)文摘要值相比較。如相等則說(shuō)明報(bào)文確實(shí)來(lái)自所稱(chēng)的發(fā)送者。

四、證書(shū)與證書(shū)授權(quán)中心

CA機(jī)構(gòu)，又稱(chēng)為證書(shū)授證(Certificate Authority)中心，作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。CA中心為每個(gè)使用公開(kāi)密鑰的用戶發(fā)放一個(gè)數(shù)字證書(shū)，數(shù)字證書(shū)的作用是證明證書(shū)中列出的用戶合法擁有證書(shū)中列出的公開(kāi)密鑰。CA機(jī)構(gòu)的數(shù)字簽名使得攻擊者不能偽造和篡改證書(shū)。它負(fù)責(zé)產(chǎn)生、分配并管理所有 參與網(wǎng)上交易的個(gè)體所需的數(shù)字證書(shū)，因此是安全電子交易的核心環(huán)節(jié)。

由此可見(jiàn)，證書(shū)授權(quán)(CA)中心是開(kāi)拓和規(guī)范電子商務(wù)市場(chǎng)必不可少的一步。為保證用戶之間在網(wǎng)上傳遞信息的安全性、真實(shí)性、可靠性、完整性和不可抵 賴性，不僅需要對(duì)用戶的身份真實(shí)性進(jìn)行驗(yàn)證，也需要有一個(gè)具有權(quán)威性、公正性、唯一性的CA機(jī)構(gòu)，負(fù)責(zé)向電子商務(wù)的各個(gè)主體頒發(fā)并管理符合國(guó)內(nèi)、國(guó)際安全 電子交易協(xié)議標(biāo)準(zhǔn)的電子商務(wù)安全數(shù)字證書(shū)。