聊聊SSL證書

在作運維工做以前，只是據說過SSL證書，作運維工做以後，也只是據說過SSL證書，由於不作這方面的工做，也不太去關心這個。不過如今，是時候學習一下，補充一下這方面的知識的時候了。網上搜了不少文章資料，可是感受能把SSL證書介紹的通俗易懂，比較容易理解的，幾乎沒有啊！我就按照本身的理解，再寫一篇有關SSL證書的文章吧。若有理解不對之處，還請幫忙指正，我也會及時更新過來。

咱們先來看看什麼是SSL。

SSL = Secure Sockets Layer, a cryptographic protocol used for network traffic。
摘自https://en.wikipedia.org/wiki/SSL

SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全（Transport Layer Security，TLS）是爲網絡通訊提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層與應用層之間對網絡鏈接進行加密。
摘自https://baike.baidu.com/item/ssl

因此，你看，SSL就是一種安全協議，簡單的理解就是有了這玩意兒你的數據在網絡上傳輸的話就更安全，是通過加密的。具體怎麼實現的，不知道，反正就是各類加密的算法吧。

單聊SSL也沒什麼意思，它是要跟其它技術配合使用的，光靠它本身，也幹不成什麼事兒。提到SSL，那就必須說一下HTTPS，那啥叫HTTPS？

HTTPS （全稱：Hyper Text Transfer Protocol over SecureSocket Layer），是以安全爲目標的 HTTP 通道，在HTTP的基礎上經過傳輸加密和身份認證保證了傳輸過程的安全性 。HTTPS 在HTTP 的基礎下加入SSL 層，HTTPS 的安全基礎是 SSL，所以加密的詳細內容就須要 SSL。

因此，能夠簡單的理解：HTTPS = HTTP + SSL

HTTPS換成小寫：https，是否是很熟悉？是的，你平時上網瀏覽的網頁，不少不少都是基於https的。好比：https://www.taobao.com/

用你的瀏覽器打開淘寶首頁，下面是用Firefox和IE打開淘寶首頁的樣子，瀏覽器不一樣，樣子貌似不同，不過都有一個小鎖圖標，通常有這個小鎖圖標，並且是綠色的，就說明是有證書的，也是相對來講比較安全的。

Firefox瀏覽器打開taobao首頁：

用IE打開taobao首頁：

接着你動動你的鼠標，點擊一下那個小鎖圖標，就會彈出來一個小框框，下面有個查看證書，接着點下去。而後真正的證書信息窗口就會彈出來了，就像下面這個樣子。
Genernal這個tab下面，能夠看到這個證書是頒發給：*.tmall.com的，是由誰頒發的呢？看Issued by：GlobalSign Organization Validation CA - SHA256 - G2這個機構。
有效期是：10/25/2019 至 10/25/2020
看來taobao網的證書是前兩天剛renew的。又花了老多錢了，哎，反正阿里也不差錢。這裏你發現一個問題了沒？這個證書是頒發給：*.tmall.com的，爲何瀏覽器地址欄裏輸入taobao.com瀏覽器也認爲它是安全的呢？莫急，切聽我慢慢道來。

我們接着往下看，切到另一個tab，details下來一探究竟。在Field下面，又有不少信息，你找到一個叫：Subject Alternative Name，點擊一下，看看下面的信息發生了什麼變化？一坨一坨的DNS Name出來了。你發現了麼？在開頭的那一坨DNS Name的格式是以星號開頭的，就是通配符的DNS Name，就是星號的地方你隨便更改，只要後面是以.tmll.com, .1688.com, .3c.tmall.com等等等等結尾的，均可以用這個證書。

接着繼續滾動鼠標，往下看，你會找到一個DNS Name = taobao.com，這也就是說地址欄裏輸入taobao.com，這個證書照樣管用。

那如今，咱們就聊聊，什麼是Subject Alternative Name?

SAN(Subject Alternative Name) 是 SSL 標準 x509 中定義的一個擴展。使用了 SAN 字段的 SSL 證書，能夠擴展此證書支持的域名，使得一個證書能夠支持多個不一樣域名的解析。 詳細信息可參考：https://support.dnsimple.com/articles/what-is-ssl-san/

因此，你如今知道了吧？taobao只搞了一張證書，並且證書是隻頒發給*.tmall.com的，可是其它阿里巴巴公司下面的域名均可以使用這一張證書，就是用了這個。只維護一張證書，是否是很方便呢？通常人可不知道這個，如今告訴你了，麻煩給這篇文章點個贊或者轉發一下吧！

接下來，咱們繼續切換到Certificateion Path這個tab。咱們來看看啊！
你會發現這個證書路徑下，實際上是嵌套的，三層結構。
第一層：GlobalSign Root CA ->這個是根證書，你點這個根證書，而後點擊瀏覽證書那個按鈕，就會再打開一個證書窗口，這個是根證書的詳細信息。你能夠發現一個頗有趣的事情，TMD本身頒發給本身的。是的，你沒看錯，人家就是這麼牛逼。
第二層：GlobalSign Organization Validation CA - SHA256 - G2 ->這個他們叫中間證書，就是一箇中間商，仍是個奸商。在根證書的頒發機構CA下面，會有不一樣的中間商。舉個不太恰當的栗子，就比如工商管理局，它就是一個證書頒發機構CA，這個機構下面會分不一樣的部門來管理不一樣的證書類型，好比你要開一個飯店，那就須要管理餐飲方面的部門來給你發證書；若是你要開一個菸酒×××店，那估計是負責菸酒部門的給你發證書；你要開酒店，估計是旅館部門管理的。。。
一樣，你點一下中間證書，而後點擊瀏覽證書按鈕，你會發現它的證書是由根證書頒發機構頒發給它的。
第三層：*.tmall.com ->這個就是真正的證書了，頒發給你的證書了。詳細信息在證書的General這個tab上面。

今天先寫到這吧！改天繼續。。。