一、什么是SSL
SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。遵守SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了,即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露,保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。数字签名又名数字标识、签章 (即Digital Certificate,Digital ID),提供了一种在网上进行身份验证的方法,是用来标志和证明网络通信双方身份的数字信息文件。 数字签名主要用于发送安全电子邮件、访问安全站点、网上招标与投标、网上签约、网上订购、网上公文安全传送、网上办公、网上缴费、网上缴税以及网上购物等安全的网上电子交易活动。
SSL证书的两大作用: 数据加密和身份认证。服务器部署了SSL证书后,可以确保用户在浏览器上输入的信息,从服务器上查询的信息,在电脑到服务器之间的传输链路上是高强度加密传输的,是不可能被非法篡改和窃取的。同时向网站访问者证明了服务器的真实身份,此真实身份是通过第三方权威机构验证的。
二、SSL认证的好处
【1】提高网站SEO排名: Google已经调整其搜索引擎算法,采用HTTPS加密的网站在搜索结果中的排名将会更高。其目标非常简单,就是要鼓励全球网站采用安全度更高的HTTPS以保证访客安全。因此网站采用HTTPS协议,可吸引更多的用户进行访问,提升网站的价值,增创营收。
【2】满足PCI/DSS的标准: 网站接受在线支付时,必须了解PCI/DSS规范。网站需要与PCI会面才能接收在线付款。支付卡行业设定的12项关键规范之一是安装SSL证书PCI。
【3】提高网站信任度: SSL证书充当信任指示器,因为它带有绿色挂锁,挂锁是SSL证书提供的信任标志。它在用户和企业之间建立信任,为网站用户提供所有信息的安全性,从而提高网站信任度。
【4】防止流量劫持: 网络在传输过程中可能被截获篡改后再转发,造成信息的不完整,在发生或可能发生信息篡改、丢失的情况时,网络服务提供者应当使用SSL证书对信息进行数字签名和完整性的保护,实现数据在服务器存储、传输和处理的过程中免遭任何非传授的或非预期的修改、插入、删除、重发、损毁等破坏。
【5】提供身份验证: 涉及到网络安全,身份验证是必不可少的。而安装SSL证书,网站就必须通过身份验证过程。通过后由权威第三方认证机构为用户颁发的“网络身份证”,实现实体的物理身份与网络的虚拟身份绑定,确保网站所有者在虚拟网络世界的真实身份。
三、购买SSL证书
进入阿里云控制台搜索SSL,选择数字证书管理服务(SSL证书),选择SSL证书栏,点击免费证书Tab,点击立即购买:
【1】证书类型:选择DV:
| 证书类型 | 适用网站类型 | 公信等级 | 认证强度 | 安全性 | 支持的证书品牌 |
|---|---|---|---|---|---|
| DV(域名型) | 个人网站 | 一般 | CA机构审核个人网站真实性、不验证企业真实性 | 一般 | GlobalSign/vTrus(国产)/WoSign(国产) |
| OV(企业型) | 政府组织、企业、教育机构等 | 高 | CA机构审核组织及企业真实性 | 高 | DigiCert/GeoTrust/GlobalSign/vTrus(国产)/CFCA(国产) |
| EV(企业增强型) | 大型企业、金融机构等 | 最高 | 严格认证 | 最高 | DigiCert/GeoTrust/CFCA(国产) |
【2】SSL证书品牌
| 证书品牌 | 说明 |
|---|---|
| DigiCert | DigiCert(原Symantec)是知名的数字证书颁发机构、值得信赖的SSL证书品牌,所有证书都采用业界先进的加密技术,为不同的网站和服务器提供安全解决方案。 |
| GeoTrust | 该品牌是DigiCert旗下的子品牌。 |
| GlobalSign | GlobalSign是较早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。GlobalSign品牌证书具有签发速度快、验证速度快等优势。天猫、淘宝等大型电商网站采用了GlobalSign品牌证书。 |
| CFCA(国产) | CFCA支持以下服务:1、供全球信任证书,由中国权威数字证书认证机构自主研发,纯国产证书。2、提供7*24小时金融级的安全保障服务,具有完善的风险承保计划。3、提供中文版全球信任体系电子认证业务规则(CPS),便于用户理解双方的权利和义务。 |
| vTrus(国产) | 1、vTrus是一个国产证书品牌,满足企业采购国产品牌SSL证书的需求。2、vTrus品牌证书的兼容性较好。 |
| WoSign(国产) | 1、WoSign是一个国产证书品牌,满足企业采购国产品牌SSL证书的需求。2、WoSign品牌证书的性价比较高。 |
【3】SSL证书支持域名类型
| 域名类型 | 说明 |
|---|---|
| 单域名 | 单域名是指一个证书只能保护一个主域名或一个子域名或一个公网IP。例如,www.aliyundoc.com。 |
| 多域名 | 多域名是指一个证书同时绑定多个单域名。阿里云售卖的多域名证书规格支持添加5个单域名。 |
| 通配符域名 | 通配符域名是指对应一个主域名及其次级域名的所有子域名。例如*.aliyundoc.com,默认赠送aliyundoc.com,*.aliyundoc.com可以匹配www.aliyundoc.com(下一级子域名)、example.aliyundoc.com(下一级子域名)等,不支持匹配www.example.aliyundoc.com。多通配符证书是指绑定多个通配符域名的证书。数字证书管理服务只支持申请单个通配符域名的证书,不支持申请多通配符域名的证书。您可以通过合并多个相同品牌、类型的证书,生成多通配符证书。 |
| 混合域名 | 混合域名证书是指包含单域名、通配符域名和公网IP的证书。例如,绑定的域名为*.aliyundoc.com、demo.example.com,即称该证书为混合域名证书。数字证书管理服务不支持申请混合域名证书,您可以通过合并多个相同品牌、类型的证书,生成混合域名证书。 |
【4】SSL证书支持的加密算法
| 算法 | 说明 |
|---|---|
| RSA | 目前应用广泛的非对称加密算法,兼容性好。 |
| ECC | 椭圆曲线公钥密码算法。相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。 |
| SM2 | 国家密码管理局发布的ECC椭圆曲线公钥密码算法,在中国商用密码体系中用来替代RSA算法。 |
四、申请SSL证书
大概30分钟内完成审核,如果解析不成功,可能是DNS解析服务器不对,可以参考云解析迁移【腾讯云到阿里云】
因为验证需要一定时间,可以点击叹号查看未完成的验证项,我第一次验证失败,撤销了后修改域名为:it-blog-cn.com重新发起了一次成功了。
下表为您介绍不同类型证书的域名验证方式以及操作指导。
| 证书类型 | 场景 | 域名验证方式 |
|---|---|---|
| DNS云解析服务与证书申请者属于同一阿里云账号 | 自动DNS验证:表示您已授权数字证书管理服务修改域名的DNS解析记录,数字证书管理服务会自动在域名控制台的解析记录中添加一条记录,无需您手动添加域名解析记录。 | |
| DV证书 | DNS云解析服务与证书申请者不属于同一阿里云账号 | 手工DNS验证:* 使用该方式时,您需要手动修改域名的DNS解析记录,并在证书绑定域名的域名控制台,添加一条解析记录用于域名所有权验证。 文件验证: 您需要手动从数字证书管理服务控制台下载一个专用的证书验证文件,然后将该文件上传到站点服务器的指定验证目录。具体操作,请参见文件验证。 |
| OV或EV证书 | 不区分 | 本地邮件验证: 在数字证书管理服务控制台提交OV或EV证书申请后,CA中心会在1个工作日(具体时间以CA中心所在地的时间为准,如遇节假日该时间会顺延)内向您提交证书申请时填写的邮箱中发送证书初审邮件。收到初审邮件后,您需要根据邮件中提供的域名验证步骤完成域名验证操作。 |
五、证书详情
这个详情页面在备案的时候需要拍照上传。也有证书下载功能,后期可以使用。
六、备案
进入ICP备案:开始备案
注意:期间需要手机通过阿里云人脸认证,并上传 身份证,域名和证书拍照等。
审核后就会出现一个进度: 备案初审由阿里云代理的,要求: 个人网站必须命名为xxxx的个人博客或者xxx的个人主页,否则备案不通过。ICP备案前您需准备ICP备案所需的相关资料,通过PC端或移动端进行备案信息填写、资料上传、真实性核验等,备案信息提交后需通过阿里云初审、短信核验和管局审核,整个备案流程预计所需时长约1~22个工作日左右,具体时长以实际操作时间为准。
操作步骤:
【1】填写基础信息进行校验: 在阿里云ICP代备案管理系统,根据界面提示,按要求填写主办单位信息和网站/App信息等,系统将根据您所填信息,自动校验是否可以进行ICP备案。您使用移动端进行首次备案或新增互联网信息服务(原备案不在阿里云)等ICP备案申请时,在此步骤还需根据实际情况上传主办单位证件,如果备案主体为个人,您在此步骤还需进行真实性核验。
【2】填写主办者信息: 填写ICP备案主办单位的真实信息。
【3】填写互联网信息服务信息: 填写互联网信息服务信息以及互联网信息服务负责人的真实信息。如果您使用移动端进行首次备案或新增互联网信息服务(原备案不在阿里云)等ICP备案申请,在此步骤还需根据实际情况上传主体负责人和互联网信息服务负责人的证件,并在此步骤还需进行互联网信息服务负责人的真实性核验。
【4】上传资料及真实性核验: 使用最新版阿里云App拍摄真实证件材料和ICP备案资料原件的照片并上传,且上传部分实人资料时需同步进行人脸识别完成真实性核验。您使用移动端进行首次备案或新增互联网信息服务(原备案不在阿里云)等备案申请时,在此步骤仅需上传所需的辅助资料,无需进行真实性核验。自2019年7月29日起,根据管局对ICP备案真实性的要求,阿里云ICP备案流程中使用移动端进行人脸核验保障真实性,幕布拍照方式不再使用。
【5】信息核验: 在提交ICP备案申请订单前,请您在此步骤中仔细确认您的主体、互联网信息服务、接入等备案信息是否正确,确认无误后提交备案订单。如果您使用PC端进行ICP备案申请,在移动端完成资料上传和真实性核验后,您可在移动端继续进行信息核验。如果您的阿里云账号无法登录阿里云App,您可返回PC端继续操作信息核验。
【6】ICP备案初审: 您提交ICP备案申请后,阿里云ICP备案审核专员会对您提交的备案信息初步审核。
【7】邮寄资料: 完成上述信息填写及资料上传后,阿里云会进行ICP备案信息初审,初审过程中根据您提交的资料及各地管局的要求,有可能需要您按照系统指示邮寄资料至指定地点。阿里云初审后如果需要您邮寄资料,审核人员会通知您。如果您在初审时未收到需要邮寄资料的相关通知,则无需邮寄资料,ICP备案流程将进入下一个阶段。
【8】工信部短信核验: 根据工信部最新要求,自2020年8月17日起,各省市进行ICP备案申请时需通过工信部备案管理系统进行短信核验,需进行短信核验的ICP备案类型请参见需要短信核验的ICP备案类型。
【9】管局审核: 初审完成后,阿里云ICP备案审核专员会将ICP备案申请转交至对应管局处做最终的管局审核。管局审核通过后您的ICP备案即已完成,审核结果会发送至您的手机和邮箱。
【10】ICP备案进度及结果查询: ICP备案申请信息成功提交至管局系统后,管局审核一般为1~20个工作日,您可以随时登录阿里云ICP代备案管理系统查看ICP备案进度。详细信息请参见ICP备案进度及结果查询。
【11】ICP备案后处理: ICP备案成功后,您需要在网站底部添加ICP备案号并链接至工信部网站。部分省份还要求在网站底部添加版权所有。若网站涉及经营性业务,您需在ICP备案后申请经营性ICP许可证。待各网站在工信部备案成功后,需在网站开通之日起30日内提交公安联网备案申请。具体操作请参见ICP备案后处理。
