SSL证书是部署在服务器上的一种数字证书,可以加密客户端到服务器端的传输数据和认证服务器真实身份,SSL证书有专门的CA机构颁发和管理,如果你需要用到SSL证书,就需要到CA机构如沃通CA去申请证书,然后将其部署在网站服务器端即可使用。参考资料:https:///products/ssl.htm
双向认证SSL 协议的具体通讯过程,这种情况要求服务器和客户端双方都有证书。 单向认证SSL 协议不需要客户端拥有CA证书,以及在协商对称密码方案,对称通话密钥时,服务器发送给客户端的是没有加过密的(这并不影响SSL过程的安全性)密码方案。这样,双方具体的通讯内容,就是加密过的数据。如果有第三方攻击,获得的只是加密的数据,第三方要获得有用的信息,就需要对加密的数据进行解密,这时候的安全就依赖于密码方案的安全。而幸运的是,目前所用的密码方案,只要通讯密钥长度足够的长,就足够的安全。这也是我们强调要求使用128位加密通讯的原因。
一般Web应用都是采用单向认证的,原因很简单,用户数目广泛,且无需做在通讯层做用户身份验证,一般都在应用逻辑层来保证用户的合法登入。但如果是企业应用对接,情况就不一样,可能会要求对客户端(相对而言)做身份验证。这时就需要做双向认证。
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。
目前国际上,常见的证书品牌如VeriSign、GeoTrust等均可以实现该技术。我们以VeriSign证书为例,该类证书分为如下品类:
1、VeriSign 128位SSL支持型证书(VeriSign Secure Site)
2、VeriSign 128位SSL强制型证书(VeriSign Secure Site Pro)
3、VeriSign 128位EV SSL支持型证书(VeriSign Secure Site with EV):支持绿色地址栏技术
4、VeriSign 128位EV SSL强制型证书(VeriSign Secure Site Pro with EV ):支持绿色地址栏技术
SSL单向认证只要求站点部署了ssl证书就行,任何用户都可以去访问(IP被限制除外等),只是服务端提供了身份认证。
双向认证则是需要服务端与客户端提供身份认证,只能是服务端允许的客户能去访问,安全性相对于要高一些。
SSL 的英文全称是 “Secure Sockets Layer” ,中文名为 “ 安全套接层协议层 ” ,SSL是一种用于保护传输层安全的开放协议,它在应用层协议和底层的TCP/IP之间提供数据安全,为TCP/IP链接提供数据加密、服务器认证、消息完整性和可选的客服机认证。满足其企业移动用户、分支机构、供应商、合作伙伴等企业资源(如基于 Web 的应用、企业邮件系统、文件服务器、 C/S 应用系统等)安全接入服务。企业利用自身的网络平台,创建一个增强安全性的企业私有网络。为Netscape所研发,用以保障在上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络 上之传输过程中不会被截取及窃听。
VeriSign是世界唯一一家在颁发给网站安全证书的同时对其企业真实身份进行实地考查,并进行法律认定的第三方安全认证机构。他首先保证了你交易的安全,其次保证了该网站是合法的网站。
不同的CA数字证书机构在身份鉴别上有着不同的策略,作为行业的领先者VeriSign一贯严格的身份鉴证,其身份鉴证方式在多年来的实践中经受住了充分的考验,其证书在整个互联网上拥有者极高的认知度。要想获得一张数字证书,申请者至少要提交如下资料:
1、 提交组织真实信息已证实组织是合法成立的机构
2、 提交信息以证明组织是该域名的合法拥有者,服务器证书有权使用该域名地址
3、 验证SSL服务器证书申请者作为企业的正式成员的真实身份并被组织授权申请证书
因为认证过程复杂所以大大提高了VeriSign的安全认证成本,而很多价格便宜进行安全认证机构,只是给那些交了钱的企业提供一张证书,至于这个企业是否合法,是阿猫阿狗,我们都不得而知。要想申请VeriSign证书还想一次通过,最好咨询VeriSign在中国内地的首席合作伙伴天威诚信(iTrusChina),据我所知天威诚信他们主要负责申请流程和后续技术支持。 /verisignchina