服务器证书

foutsong

服务器证书
服务器证书是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。服务器证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道（Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证；对传送的数据进行加密和隐藏；确保数据在传送中不被改变，即数据的完整性，现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中，因此，仅需安装服务器证书就可以激活该功能了。即通过它可以激活SSL协议，实现数据信息在客户端和服务器之间的加密传输，可以防止数据信息的泄露。保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。全球最大的 SSL服务器证书厂商是VeriSign ，该公司提供的服务器证书保护着全世界超过 百万台 Web 服务器的安全。目前VeriSign在中国区不提供直接数字证书服务，其中国区授权的合作伙伴是天威诚信数字认证中心，该机构为VeriSign在中国区首席合作伙伴，拥有VeriSign旗下VeriSign、GeoTrust、Thawte三各品牌证书产品，可以访问VeriSign中国区官方网站www.verisignchina.com.cn 或其合作伙伴天威诚信www.itrus.comc.cn 查找详细的信息。

VeriSign是全球最为知名的代码签名证书提供者，拥有VeriSign旗下VeriSign、GeoTrust、Thawte三各品牌证书产品，其中VeriSign和Thawte品牌提供代码签名证书。目前VeriSign在中国区不提供直接数字证书服务，其中国区授权的合作伙伴是天威诚信数字认证中心，该机构为VeriSign在中国区首席合作伙伴，可以访问VeriSign中国区官方网站www.verisignchina.com.cn 或其合作伙伴天威诚信www.itrus.comc.cn 查找详细的信息。

代码签名证书
在木马和病毒横行的互联网环境下，由于互联网缺乏提供软件额外信息的机制，用户通过互联网下载或打开软件时，通常会看到一个消息框，警告运行该软件可能造成的危险，使得用户对缺乏完整性保护并且发布者不详的软件产品的信任度降低。为此需要对程序代码进行代码签名。而代码签名证书则是VeriSign针对网上发布控件、应用程序、驱动程序等产生的代码安全问题提供的一种安全、可信的工具。
VeriSign 代码签名证书又分为支持 PC 应用软件的代码签名证书和支持移动设备应用软件的代码签名证书两大类，主要包括：
(1) 代码签名数字 ID(Code Signing Digital IDs) ： 主要包括：微软代码签名证书 ((Microsoft Authenticode Digital ID) ：数字签名 .exe, .dll, .cab, .ocx(ActiveX) ； Java 代码签名证书 (Sun Java Signing Digital ID) ：数字签名 Sun J2SE/J2EE 的 Java Applet 文件，以及数字签名 J2ME MIDlet Suite 文件，支持业界最多型号和最多品牌的手机。
(2) 微软产品徽标认证证书 ("Designed for Windows logo" Digital IDs) ：用于数字签名微软 Windows Logo 认证的各种软件、硬件驱动程序等，提交已经签名的软件给微软测试认证，还包括微软 Windows Hardware Quality Labs (WHQL) testing programs(Windows 硬件质量实验室测试计划 ) 认证。
(3) 微软移动代码签名证书 (Authenticated Content Signing for Microsoft Windows Mobile)(ACS)：支持使用微软 Windows Mobile 和 SmartPhone2002/2003 移动终端操作系统的移动应用软件的非特权签名和特权签名，以确保移动下载的软件代码在移动终端 ( 如智能手机和 PDA) 的安全。

VeriSign是全球最为知名的代码签名证书提供者，拥有VeriSign旗下VeriSign、GeoTrust、Thawte三各品牌证书产品，其中VeriSign和Thawte品牌提供代码签名证书。目前VeriSign在中国区不提供直接数字证书服务，其中国区授权的合作伙伴是天威诚信数字认证中心，该机构为VeriSign在中国区首席合作伙伴，可以访问VeriSign中国区官方网站www.verisignchina.com.cn 或其合作伙伴天威诚信www.itrus.comc.cn 查找详细的信息。

Thawte
Thawte公司为 VeriSign 全资子公司，是全球第三大数字证书颁发机构，成立于1995年，自1996年正式提供数字证书产品到1999年占领全球市场的40%。VeriSign于2000年对Thawte换股完成收购，收购后thawte仍然独立运作，但同时得到了VeriSign的大力支持，可以颁发VeriSign独家拥有的SGC技术的SSL证书。此外， Thawte数字证书产品的另一个优势是其根证书已经预置到IE4.0以上的所有浏览器和操作系统中，并且无需升级Windows根证书直接支持代码签名应用。同时，Thawte SSL证书全球独家支持IDN国际语言域名(包括中文域名)，使得使用中文域名的中国用户也可以为其中文域名网站部署SSL 证书来确保信息安全。目前Thawte在中国区不提供直接数字证书服务，其中国区授权的合作伙伴是天威诚信数字认证中心，可以访问www.itrus.comc.cn或 thawte.itrus.com.cn 查看有详细资料

数字证书
数字证书在网络上类似于人在社会上持有的身份证等证件，用来在网络上证明数字证书持有者的身份。数字证书持有者可能是现实社会中的自然人、法人，也可能是网络设备。数字证书可以简单理解为“网络身份证”，用来在网络上证明自己的身份。
数字证书与身份证都是由专门的机构来签发。身份证通常由GA局来签发，上面盖有签发单位的公章。而受电子签名法保护的数字证书则是由国家许可的第三方数字认证中心(简称CA中心)，例如获得信息产业部审批资质的天威诚信数字认证中心来签发，数字证书上面有CA中心的电子签名，以证明数字证书的有效性。根据国家相关部门的许可授权建立的数字认证中心，在Internet上具有公信力，用它签发的数字证书所签署的电子合同、电子订单等电子文书具有法律效力。
数字证书上面主要包括以下信息：证书版本号、证书持有者信息、证书签发者(CA)信息、证书起止有效期、证书序列号、证书签发者的签名等。这些信息与身份证类似。证书签发者对数字证书的签名可以起到对数字证书本身的防伪作用，这与身份证上的公章类似。但CA中心对证书的数字签名是不可能被伪造的。
基于数字证书的应用角度分类，数字证书可以分为以下几种：
        服务器证书
服务器证书被安装于服务器设备上，用来证明服务器的身份和进行通信加密。服务器证书可以用来防止假冒站点。
在服务器上安装服务器证书后，客户端浏览器可以与服务器证书建立SSL连接，在SSL连接上传输的任何数据都会被加密。同时，浏览器会自动验证服务器证书是否有效，验证所访问的站点是否是假冒站点，服务器证书保护的站点多被用来进行密码登录、订单处理、网上银行交易等。全球最为知名的服务器证书品牌是VeriSign，不过目前VeriSign在中国区不提供直接数字证书服务，其中国区授权的合作伙伴是天威诚信数字认证中心，该机构为VeriSign在中国区首席合作伙伴，可以访问VeriSign中国区官方网站www.verisignchina.com.cn 或其合作伙伴天威诚信www.itrus.comc.cn 查找详细的信息。
        电子邮件证书
电子邮件证书可以用来证明电子邮件发件人的真实性。它并不证明数字证书上面CN一项所标识的证书所有者姓名的真实性，它只证明邮件地址的真实性。
收到具有有效电子签名的电子邮件，我们除了能相信邮件确实由指定邮箱发出外，还可以确信该邮件从被发出后没有被篡改过。
另外，使用接收的邮件证书，我们还可以向接收方发送加密邮件。该加密邮件可以在非安全网络传输，只有接收方的持有者才可能打开该邮件。
        客户端个人证书
客户端证书主要被用来进行身份验证和电子签名。
安全的客户端证书我被存储于专用的usbkey中。存储于key中的证书不能被导出或复制，且key使用时需要输入key的保护密码。使用该证书需要物理上获得其存储介质usbkey，且需要知道key的保护密码，这也被称为双因子认证。这种认证手段是目前在internet最安全的身份认证手段之一。

EVSSL
EV SSL，也称EV SSL证书，英文全名为：Extended Validation SSL Certificate，就是全球领先的数字证书颁发机构和主流的浏览器开发商共同制定的一个新的SSL证书严格身份验证标准，让新一代安全浏览器(如：IE7)能识别出 EV SSL 而在地址栏显示为绿色，让普通消费者能确信正在访问的网站就是通过权威第三方严格身份验证的现实世界的真实实体，从而增强消费者信心，促成更多在线交易。 所有的EV SSL证书一律要经过高水平的、严谨的鉴证，以确保商家合法的有效性。不过目前VeriSign在中国区不提供直接数字证书服务，其中国区授权的合作伙伴是天威诚信数字认证中心，该机构为VeriSign在中国区首席合作伙伴，可以访问VeriSign中国区官方网站www.verisignchina.com.cn 或其合作伙伴天威诚信www.itrus.comc.cn 查找详细的信息。








GeoTrust
GeoTrust公司曾经是全球第二大数字证书颁发机构，也是身份认证和信任认证领域的领导者，该公司各种先进的技术使得任何大小机构和公司都能安全地低成本地部署 SSL 数字证书和实现各种身份认证，从而确保电子商务交易的安全。全球150多个国家超过10万个用户在使用 GeoTrust 的产品来进行安全的电子交易和确认并保护网上真实身份，为全球用户的电子商务保驾护航。2006年9月 Geotrust 被VeriSign收购，并成为 VeriSign 旗下一大专业品牌，品牌将主要为广泛的电子商务网站提供数据传输安全解决方案。其种类较多有QuickSSL Premium 、RapidSSL、RapidSSL Wildcard 、Power Server ID 、
Power Server ID Wildcard、True BusinessID 、True BusinessID Wildcard 、True BusinessID EV等
目前GeoTrust在中国区不提供直接数字证书服务，其中国区授权的合作伙伴是天威诚信数字认证中心，可以访问www.itrus.comc.cn或 GeoTrust..itrus.com.cn 查看有详细资料

VeriSign
VeriSign(纳斯达克上市代码: VRSN)是一个提供智能信息基础设施服务的上市公司，总部位于美国加利福尼亚的山景（Mountain View）。VeriSign的数字信任服务通过VeriSign的域名登记、数字认证和网上支付三大核心业务，在全球范围内建立起了一个可信的虚拟环境，使任何人在任何地点都能放心地进行数字交易和沟通。而数字证书业务是其起家的核心业务，其 SSL 证书被全球 500 强中有 93% 的企业选用、在EV SLL中占有75%的市场、全球前 40 大银行都选用、全球 50 大电子商务网站中有47个网站使用，共有超过 50 万个网站选用 VeriSign 的 SSL证书来确保网站机密信息安全。VeriSign面向网站、软件开发商和个人提供信任服务，这其中包括签发专门应对网站鉴别和加密的SSL服务器证书，世界500强企业中超过93%的企业使用来自VeriSign SSL服务器证书，目前在用服务器证书数量超过100万张，包括亚马逊、雅虎购物、美国在线在内的全球众多知名网站均安装了VeriSign的SSL服务器证书加强网站安全防护。为了扩展自己的服务领域和范围，VeriSign与American Express、Checkpoint、Microsoft、RSA建立了战略合作关系，包括英国、法国、德国、意大利、澳大利亚、巴西、南非、中国、日本、韩国等几十个国家和地区在内的50多家数字信任服务提供商加入了VeriSign的信任网络。VeriSign 是全球最大的数字证书颁发机构，于 2000 年 1 初以 5.76 亿美元完成收购 Thawte ，当时 Thawte 已经占领全球约 40% 市场分额。又于 2006 年 9 月以 1.25 亿美元完成收购 GeoTrust ，当时 GeoTrust 约占全球 25% 市场分额。VeriSign通过与中国内地数字认证服务商天威诚信合作共同推进数字证书业务在国内的发展，提供包括服务器证书、代码签名证书、邮件证书等各类安全数字证书。国内众多网上银行，证券金融机构、购物网站均采用先进的数字认证技术保障网站信息的安全。  
VeriSign 数字证书产品是目前市场上最完整的支持最多应用和最多设备的数字证书产品，主要包括： SSL 证书和代码签名证书。

VeriSign SSL 证书主要有 3 种： Secure Site Pro 、 Secure Site ， Secure Site Pro with EV ，Secure Site with EV其中：
(1) Secure Site Pro ，国内翻译为： 全球服务器证书(128 位)， SSL证书(SGC)，是支持 SGC 强制 128 位加密技术 的高端 SSL 证书，不管用户使用支持 40 位、 56 位、 128 位加密的浏览器都能强制成 128 位加密传输，确保机密信息的安全。
(2) Secure Site ，国内翻译为：安全服务器证书(40 位)， SSL证书(非SGC) ，是 不 支持 SGC 技术的 SSL 证书。值得提醒用户的是：国内翻译的“安全服务器证书(40 位)”称此 SSL证书为 40 位证书是不准确的，此证书支持 40 位 /56 位 /128 位加密，但其加密强度依赖于浏览器所支持的加密位数，如果浏览器只支持 40 位或 56 位，则是按照 40 位或 56 位来加密信息传输的，而不能象 Secure Site Pro 那样强制实现 128 位加密。
(3) Secure Site Pro with EV ，就是全球统一标准的严格身份验证的 EV SSL 可扩展证书， 是Secure Site Pro的升级产品，让浏览器地址栏为绿色，增强在线用户信任。
(4) Secure Site with EV ,区别于Secure Site Pro with EV，该证书不支持SGC强制加密技术。
VeriSign 代码签名证书又分为支持 PC 应用软件的代码签名证书和支持移动设备应用软件的代码签名证书两大类，主要包括：
(1) 代码签名数字 ID(Code Signing Digital IDs) ： 主要包括：微软代码签名证书 ((Microsoft Authenticode Digital ID) ：数字签名 .exe, .dll, .cab, .ocx(ActiveX) ； Java 代码签名证书 (Sun Java Signing Digital ID) ：数字签名 Sun J2SE/J2EE 的 Java Applet 文件，以及数字签名 J2ME MIDlet Suite 文件，支持业界最多型号和最多品牌的手机。
(2) 微软产品徽标认证证书 ("Designed for Windows logo" Digital IDs) ：用于数字签名微软 Windows Logo 认证的各种软件、硬件驱动程序等，提交已经签名的软件给微软测试认证，还包括微软 Windows Hardware Quality Labs (WHQL) testing programs(Windows 硬件质量实验室测试计划 ) 认证。
(3) 微软移动代码签名证书 (Authenticated Content Signing for Microsoft Windows Mobile)(ACS)：支持使用微软 Windows Mobile 和 SmartPhone2002/2003 移动终端操作系统的移动应用软件的非特权签名和特权签名，以确保移动下载的软件代码在移动终端 ( 如智能手机和 PDA) 的安全。

目前VeriSign在中国区不提供直接数字证书服务，其中国区授权的合作伙伴是天威诚信数字认证中心，该机构为VeriSign在中国区首席合作伙伴，可以访问VeriSign中国区官方网站www.verisignchina.com.cn 或其合作伙伴天威诚信www.itrus.comc.cn 查找详细的信息

SGC
SGC技术(Server Gated Cryptography)是在现有的SSL证书标准基础上增加的一种增强密钥用法(EKU)，主要是考虑到2000年以前美国ZF对高强度加密算法(128位)出口限制的因素而推出的，由于出口管制的原因，2001年以前推出的浏览器版本(如：IE 5)和服务器版本(Windows 2000 server)都只支持56位或40位加密算法，但由于电脑硬件技术和CPU处理速度的快速提高，使得破解40位加密算法只需几秒钟，而破解56位加密算法也只需几天时间。为了加强美国以外的国家的电子商务和网上银行的安全，SSL证书业界就在SSL证书标准基础上增加的支持强制实现128位加密的增强密钥用法(EKU)，也就是说：即使受出口限制的40位或56位浏览器或服务器，只要使用支持SGC技术的SSL证书，就能不受限制的实现128位加密。这种强制实现128位高强度加密技术简称为SGC技术。低端的加密强度为40位或56位，而高端的加密强度为128位或256位，具体达到的加密强度客户操作系统、浏览器版本、网络服务器的所采用的证书等因素相关。如许多客户的系统不支持128位强度的加密链接，即便服务器证书可以支持128位，客户端也自动降低加密强度，除非他采用了支持SCG技术的服务器证书（强制型），方可实现128位加密强度。目前只有少数公司如VeriSign可以提供支持SCG技术的数字证书产品。不同加密级别的证书安全性到底有多大差距。我们做个简单的数学题：128位加密强度=288×40位加密强度，约等于（300，000，000，000，000，000，000，000，000）倍40位的强度。也许看到这么大的数字，难免头大。我们再举一个现实的例子，对于加密算法的常用方法是暴力破解（通过计算各种密码变化形式），1997年学生对于40位强度的SSl暴力破解耗费4小时，而目前凭借最高端的计算终端和计算能力这一过程被减少到了几分钟，而同样的方法用在128位加密强度上要耗费一万亿年以上。
增强型密钥用法(EKU)就是定义该证书的用途，由一串十进制数字组成，也称 Object ID或OID，常见的OID有：服务器验证： 1.3.6.1.5.5.7.3.1 (serverAuth)，客户端验证： 1.3.6.1.5.5.7.3.2 (clientAuth)，代码签名： 1.3.6.1.5.5.7.3.3 (codeSigning)，电子邮件加密： 1.3.6.1.5.5.7.3.4 (emailProtection)等等。
SGC技术就是增加了一个新的OID，NetScape提出的SGC OID为： 2.16.840.1.113730.4.1 (nsSGC)，而由微软提出的SGC OID为： 1.3.6.1.4.1.311.10.3.3 (msSGC)，两者都已经成为国际标准，所有系统都支持这两个OID。了解了这些以后，您就不难检查一个SSL证书是否支持SGC技术了，根据微软网站知识库文档(文档1或文档2)，只要SSL证书的“增强型密钥用法”中含有以上两个OID或含有两个OID的其中一个则都是支持SGC技术的SSL证书。 目前支持SGC技术的国际高端权威服务器证书品牌是verisign 和thawte。1996年 1月 VeriSign 和 Thawte 相继设立商业 CA，发展到1999年各占 60% / 40% 市场分额， 1999年底/2000年初 VeriSign 以 5.76亿美元收购 Thawte，Thawte 成为了 VeriSign 的全资子公司。目前VeriSign和Thawte在中国区均不提供直接数字证书服务，其中国区授权的合作伙伴是天威诚信数字认证中心，可以访问www.itrus.comc.cn 或 www.VeriSignchina.com.cn         查看有详细资料

SSL
SSL (Secure Socket Layer)
为Netscape所研发，用以保障在Internet上数据传输之安全，利用数据加密(Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。目前一般通用之规格为40 bit之安全标准，美国则已推出128 bit之更高安全标准，但限制出境。只要3.0版本以上之I.E.或Netscape浏览器即可支持SSL。
当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。
SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层： SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

SSL协议提供的服务主要有：
1）认证用户和服务器，确保数据发送到正确的客户机和服务器；
2）加密数据以防止数据中途被窃取；
3）维护数据的完整性，确保数据在传输过程中不被改变。

SSL协议的工作流程：
服务器认证阶段：1）客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；4）服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。
用户认证阶段：在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。
从SSL 协议所提供的服务及其工作流程可以看出，SSL协议运行的基础是商家对消费者信息保密的承诺，这就有利于商家而不利于消费者。在电子商务初级阶段，由于运作电子商务的企业大多是信誉较高的大公司，因此这问题还没有充分暴露出来。但随着电子商务的发展，各中小型公司也参与进来，这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但是SSL协议仍存在一些问题，比如，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下，Visa和 MasterCard两大信用卡公组织制定了SET协议，为网上信用卡支付提供了全球性的标准。

https介绍
HTTPS（Secure Hypertext Transfer Protocol）安全超文本传输协议
它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层（SSL）作为HTTP应用层的子层。（HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。）SSL使用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。。
https是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，https的安全基础是SSL，因此加密的详细内容请看SSL。
它是一个URI scheme(抽象标识符体系)，句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。

限制
它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持.
一种常见的误解是“银行用户在线使用https:就能充分彻底保障他们的银行卡号不被偷窃。”实际上，与服务器的加密连接中能保护银行卡号的部分，只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的，这点甚至已被攻击者利用，常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户数据时发生，攻击者尝试窃听数据于传输中。
商业网站被人们期望迅速尽早引入新的特殊处理程序到金融网关，仅保留传输码(transaction number)。不过他们常常存储银行卡号在同一个数据库里。那些数据库和服务器少数情况有可能被未授权用户攻击和损害SSL证书的主要角色就是为网站的机密数据提供加密传输功能，从而确保机密信息的机密性、完整性和不可否认性。对于网上电子商务来讲，用户在向网站提交机密信息之前如果不能信任此网站，那再高强度的加密也是没有用的，因为加密只是一种技术保护措施。所以， SSL证书标准也在不断完善，使得 SSL证书不仅起到加密作用，并起到网站的电子身份证的作用，因为 SSL证书中将包含经过证书颁发机构验证的单位名称和所在地区等信息，这样，就大大方便了在线用户能实时查验此网站是否是用一个现实世界的实体所拥有和是否就是网站上所声称的单位，从而让用户放心地从事在线交易。

最新的SSL证书为 EV SSL 证书的推出，其推出的Secure Site Pro-EV 具有强制SGC128位加密技术，最大程度上确保网站的安全可靠性。全球最大的 SSL证书厂商是VeriSign ，该公司提供的SSL证书保护着全世界超过 百万台 Web 服务器的安全。目前VeriSign在中国区不提供直接数字证书服务，其中国区授权的合作伙伴是天威诚信数字认证中心，该机构为VeriSign在中国区首席合作伙伴，拥有VeriSign旗下VeriSign、GeoTrust、Thawte三各品牌证书产品，可以访问VeriSign中国区官方网站www.verisignchina.com.cn 或其合作伙伴天威诚信www.itrus.comc.cn 查找详细的信息。