老师你好，在ssl证书中，cer是公钥证书，key是私钥证书，crt是证书链？对吗？

key是SSL证书私钥。而.cer和.crt是证书链，其中，.cer是服务器证书，.crt是中间证书。

一般上传的时候都是合着上传写入的，比如百度云加速上传SSL证书的时候，在证书输入框输入.cer的文本，再回车输入.crt的文件，即可完成证书链。

ssl证书优点：

一般说来，在网上进行电子商务交易时，交易双方需要使用数字签名来表明自己的身份，并使用数字签名来进行有关的交易操作。随着电子商务的盛行，数字签章的颁发机构 CA中心将为电子商务的发展提供可靠的安全保障。

一个有效、可信的 SSL 数字证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息，私用密钥用于解译加密的信息。因此，浏览器指向一个安全域时，SSL 将同步确认服务器和客户端，并创建一种加密方式和一个唯一的会话密钥。

一般而言，由 CA 业界发出的数字证书，有别于国内浏览器业者比对域名信息等方式，采取更为严格的企业及所有权验证，为电商环境树立更为可信的运作环境。

如果您的网站使用 SSL 证书 (SSL Certificates)，并显示了签章 (Secured Seal)，您的客户就知道他们的交易安全可靠，并且充分信赖您的网站。

TLS/SSL协议实际上是分层的，类似IP/TCP协议；

上图为一个 TLS Record Layer 包，可用看到其结构为：

Record类型:

TCP包中除了 TLS Record Layer 外，可以看到前面还有部分内容，这是因为按照网络协议七层规范，层次关系为数据链路层－》网络层－》传输层－》TLS/SSL

其中数据链路层的结构为目的地址＋源地址+类型，对应到图上：

当 TLS Record Protocol 的ContentType=22时，Body的内容采用 Handshake Protocol

Hello request 消息由服务端发送给客户端，通过客户端重新开始SSL握手；

消息体为空

客户端发送 Client hello 消息开始SSL握手；

Server hello 消息由服务端发送给客户端，作为 Client hello 的响应；如果服务端无法找到匹配的SSL/TLS版本或CipherSuits,会返回 handshake failure alert

服务端发送证书到客户端，客户端据此验证服务端身份；一般而言，该消息紧跟着 Server hello 消息；

证书链所占用的字节，用3bytes表示；

该消息一般紧接着 Server certificate 消息；该消息并不是必须的，取决于协商出的key交换算法；如果 Server certificate 并不包含计算premaster的所有参数，则必须发送该消息；

采用如下算法需要发送 Server certificate 消息:

采用如下算法不需要发送 Server certificate 消息:

由于目前使用较多的是ECDHE,本文只介绍该格式:

1byte,目前为常量0x03

该消息是可选的，如果服务端需要验证客户端身份，可以通过该消息要求客户端提供证书

哈希和签名算法列表,从TLS1.2开始，之前版本不存在该字段；用2bytes存储算法列表占用的字节数；

每个Algorithm由hash(1byte)+signature(1byte)组成；

和 Server certificate 相同

该消息由客户端发送到服务端，校验证书

---