1、 什么是SSL？

SSL 是一個(gè)安全協(xié)議，最初是由美國(guó)網(wǎng)景 Netscape Communication 公司設(shè)計(jì)開(kāi)發(fā)的，全稱(chēng)為安全套接層協(xié)議 (Secure Sockets Layer) 。它采用公開(kāi)密鑰技術(shù)為傳輸通信提供如下幫助：

1. 信息傳輸?shù)谋Ｃ苄裕?/P>

2. 數(shù)據(jù)交換的完整性；

3. 信息的不可否認(rèn)性；

4. 交易者身份確定性。

換句話說(shuō)，服務(wù)器部署SSL證書(shū)后，其核心能就是確保服務(wù)器與瀏覽器之間的數(shù)據(jù)傳輸是加密傳輸?shù)?，在?shù)據(jù)傳輸過(guò)程中不被篡改或被解密。瀏覽器上，用戶(hù)可通過(guò)“金色鎖型”標(biāo)記，得知是否已處于SSL安全保護(hù)，如果更先進(jìn)的VeriSign EV SSL證書(shū)，那么除了“鎖型”標(biāo)記外，瀏覽器的地址欄還會(huì)變成綠色。

2、 什么是SSL證書(shū)信任根

數(shù)字證書(shū)是一種特殊商品，它所傳達(dá)的是信賴(lài)、可信和安全。而CA數(shù)字認(rèn)證中心是證書(shū)的頒發(fā)機(jī)構(gòu)，負(fù)責(zé)檢驗(yàn)和簽發(fā)SSL證書(shū)。但全世界有眾多CA機(jī)構(gòu)，技術(shù)實(shí)力、經(jīng)營(yíng)狀況各不相同，如何對(duì)這些簽發(fā)證書(shū)的CA機(jī)構(gòu)進(jìn)行界定，證書(shū)信任根起到了關(guān)鍵作用。

目前瀏覽器中，只會(huì)根預(yù)埋一些擁有強(qiáng)大技術(shù)實(shí)力的數(shù)字認(rèn)證中心的根證書(shū)，例如VeriSign。而對(duì)于其他未經(jīng)驗(yàn)證的數(shù)字認(rèn)證中心簽發(fā)的SSL證書(shū)，當(dāng)用戶(hù)在訪問(wèn)網(wǎng)站時(shí)，瀏覽器就會(huì)自動(dòng)彈出安全警示窗口。

3、 什么是SGC技術(shù)

SGC技術(shù)(Server Gated Cryptography)是在現(xiàn)有的SSL證書(shū)標(biāo)準(zhǔn)基礎(chǔ)上增加的一種增強(qiáng)密鑰用法(EKU)，主要是考慮到2000年以前美國(guó)政府對(duì)高強(qiáng)度加密算法(128位)出口限制的因素而推出的，由于出口管制的原因，2001年以前推出的瀏覽器版本(如：IE 5)和服務(wù)器版本(Windows 2000 server)都只支持56位或40位加密算法，但由于電腦硬件技術(shù)和CPU處理速度的快速提高，使得破解40位加密算法只需幾秒鐘，而破解56位加密算法也只需幾天時(shí)間。

為了加強(qiáng)美國(guó)以外的國(guó)家的電子商務(wù)和網(wǎng)上銀行的安全，SSL證書(shū)業(yè)界就在SSL證書(shū)標(biāo)準(zhǔn)基礎(chǔ)上增加的支持強(qiáng)制實(shí)現(xiàn)128位加密的增強(qiáng)密鑰用法(EKU)，也就是說(shuō)：即使受出口限制的40位或56位瀏覽器或服務(wù)器，只要使用支持SGC技術(shù)的SSL證書(shū)，就能不受限制的實(shí)現(xiàn)128位加密。這種強(qiáng)制實(shí)現(xiàn)128位高強(qiáng)度加密技術(shù)簡(jiǎn)稱(chēng)為SGC技術(shù)。

4、 SSL證書(shū)是否會(huì)影響到速度和流量

因?yàn)橐獮槊恳粋€(gè)SSL連接實(shí)現(xiàn)加密和解密，所以會(huì)增加服務(wù)器CPU的處理負(fù)擔(dān)，但一般不會(huì)影響太大。但考慮到對(duì)于客戶(hù)隱私安全的保護(hù)，根據(jù)相關(guān)調(diào)查顯示，在重要頁(yè)面部署知名品牌的SSL證書(shū)，不但不會(huì)流失客戶(hù)，反而有效促進(jìn)客戶(hù)成交。

為了更好的利用SSL證書(shū)技術(shù)，建議可注意以下幾點(diǎn)，緩解服務(wù)器負(fù)擔(dān)：

(1) 僅為需要加密的頁(yè)面使用SSL，如登錄或需要提交客戶(hù)數(shù)據(jù)的頁(yè)面，如(https://www.domaincom/login.asp)，不要把所有頁(yè)面都使用https://,特別是訪問(wèn)量最大的首頁(yè)；首頁(yè)和其他頁(yè)面可以通過(guò)部署VeriSign動(dòng)態(tài)簽章標(biāo)志，提示客戶(hù)此網(wǎng)站安全可信。

(2) 盡量不要在使用了SSL證書(shū)的頁(yè)面上設(shè)計(jì)大塊的圖片文件和其他大文件，盡量使用簡(jiǎn)潔的文字頁(yè)面。并通過(guò)文字或VeriSign動(dòng)態(tài)簽章標(biāo)志提示消費(fèi)者，頁(yè)面處于SSL證書(shū)安全保護(hù)狀態(tài)。

如果網(wǎng)站交易量或訪問(wèn)量異常龐大，天威誠(chéng)信建議客戶(hù)可購(gòu)買(mǎi)SSL加速卡來(lái)專(zhuān)門(mén)負(fù)責(zé)SSL加解密工作，這樣可完全不增加服務(wù)器任何負(fù)擔(dān)。此外，增加服務(wù)器也是一個(gè)不錯(cuò)的選擇。

5、 crt、cer、key、der、pem分別是什么格式證書(shū)文件

證書(shū)文件的擴(kuò)展名只是一種使用習(xí)慣上的區(qū)別。在apache下，習(xí)慣用crt作為證書(shū)文件擴(kuò)展名，在IIS等一些平臺(tái)下，則習(xí)慣用cer作為證書(shū)文件的擴(kuò)展名。Key則通常是私鑰文件的擴(kuò)展名。而pem則是包括crt、cer、key、der等文件，或者將多個(gè)文件粘貼到一塊的統(tǒng)稱(chēng)。

6、 SSL證書(shū)做雙向認(rèn)證是否需要安裝第三方的插件

常用的webserver 中間件都會(huì)有支持客戶(hù)端認(rèn)證的功能，配置SSL證書(shū)只需要修改配置文件便可以啟用客戶(hù)認(rèn)證的功能,而不需要安裝第三方的插件。

7、 托管服務(wù)器，是否可以安裝SSL證書(shū)

99%以上的服務(wù)器和客戶(hù)端瀏覽器都是支持SSL。虛擬主機(jī)一般也可以安裝應(yīng)用服務(wù)器證書(shū)，但具體能否安裝服務(wù)器證書(shū)還要看服務(wù)提供商是否提供該服務(wù)。一般獨(dú)享的主機(jī)服務(wù)提供商會(huì)給予完全管理權(quán)限，可以直接安裝服務(wù)器證書(shū)。如果是多人共享的主機(jī)，通常也可以通過(guò)和服務(wù)提供商溝通，購(gòu)買(mǎi)獨(dú)立IP，或購(gòu)買(mǎi)SSL許可的方式來(lái)安裝SSL證書(shū)。

8、 如果服務(wù)器換了IP地址，原來(lái)的SSL證書(shū)是否還能使用？

一般SSL證書(shū)都是綁定域名的，服務(wù)器更換IP地址不會(huì)有任何影響。只要域名不變，原來(lái)的SSL證書(shū)當(dāng)然照樣可以用，重新解析到新的IP地址即可。但如果您申請(qǐng)的SSL證書(shū)是為IP地址申請(qǐng)的，則服務(wù)器換了IP地址，原來(lái)的SSL證書(shū)就不能用了。所以，要根據(jù)業(yè)務(wù)情況需要決定是為您的網(wǎng)站域名還是IP地址來(lái)申請(qǐng)證書(shū)。

9、 如果改變了硬件、軟件（web server），SSL證書(shū)是否需要重新申請(qǐng)？

SSL服務(wù)器證書(shū)與硬件無(wú)關(guān)，如果系統(tǒng)和web server版本相同，也不會(huì)有任何影響。但如果改變了服務(wù)器軟件，證書(shū)就要重新申請(qǐng)。因?yàn)镾SL服務(wù)器證書(shū)不可以更換平臺(tái)使用。

10、 IIS上如何在同一個(gè)站點(diǎn)上請(qǐng)求多張證書(shū)，或更新、更換證書(shū)

微軟IIS 6.0中，每一個(gè)網(wǎng)站只允許同時(shí)發(fā)出一個(gè)CSR請(qǐng)求。如果在已有的請(qǐng)求之上重新創(chuàng)建一個(gè)新的CSR請(qǐng)求，原始請(qǐng)求（和私鑰）將被覆蓋。所以在正式提交CSR請(qǐng)求后，請(qǐng)不要在原有站點(diǎn)上對(duì)服務(wù)器做證書(shū)方面的配置。

如果要為同一個(gè)站點(diǎn)請(qǐng)求多張證書(shū)，或更新、更換證書(shū)，可以先創(chuàng)建一個(gè)臨時(shí)站點(diǎn)，在臨時(shí)站點(diǎn)上做證書(shū)的請(qǐng)求操作。在證書(shū)正確安裝到臨時(shí)站點(diǎn)上之后，則可以刪除該臨時(shí)站點(diǎn)，并在正式的站點(diǎn)上用“指派現(xiàn)有證書(shū)”或“替換當(dāng)前站點(diǎn)證書(shū)”的方式來(lái)切換證書(shū)的應(yīng)用。