key是SSL证书私钥。而.cer和.crt是证书链,其中,.cer是服务器证书,.crt是中间证书。
一般上传的时候都是合着上传写入的,比如百度云加速上传SSL证书的时候,在证书输入框输入.cer的文本,再回车输入.crt的文件,即可完成证书链。
ssl证书优点:
一般说来,在网上进行电子商务交易时,交易双方需要使用数字签名来表明自己的身份,并使用数字签名来进行有关的交易操作。随着电子商务的盛行,数字签章的颁发机构 CA中心将为电子商务的发展提供可靠的安全保障。
一个有效、可信的 SSL 数字证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息,私用密钥用于解译加密的信息。因此,浏览器指向一个安全域时,SSL 将同步确认服务器和客户端,并创建一种加密方式和一个唯一的会话密钥。
一般而言,由 CA 业界发出的数字证书,有别于国内浏览器业者比对域名信息等方式,采取更为严格的企业及所有权验证,为电商环境树立更为可信的运作环境。
如果您的网站使用 SSL 证书 (SSL Certificates),并显示了签章 (Secured Seal),您的客户就知道他们的交易安全可靠,并且充分信赖您的网站。
TLS/SSL协议实际上是分层的,类似IP/TCP协议;
上图为一个 TLS Record Layer 包,可用看到其结构为:
Record类型:
TCP包中除了 TLS Record Layer 外,可以看到前面还有部分内容,这是因为按照网络协议七层规范,层次关系为数据链路层-》网络层-》传输层-》TLS/SSL
其中数据链路层的结构为目的地址+源地址+类型,对应到图上:
当 TLS Record Protocol 的ContentType=22时,Body的内容采用 Handshake Protocol
Hello request 消息由服务端发送给客户端,通过客户端重新开始SSL握手;
消息体为空
客户端发送 Client hello 消息开始SSL握手;
Server hello 消息由服务端发送给客户端,作为 Client hello 的响应;如果服务端无法找到匹配的SSL/TLS版本或CipherSuits,会返回 handshake failure alert
服务端发送证书到客户端,客户端据此验证服务端身份;一般而言,该消息紧跟着 Server hello 消息;
证书链所占用的字节,用3bytes表示;
该消息一般紧接着 Server certificate 消息;该消息并不是必须的,取决于协商出的key交换算法;如果 Server certificate 并不包含计算premaster的所有参数,则必须发送该消息;
采用如下算法需要发送 Server certificate 消息:
采用如下算法不需要发送 Server certificate 消息:
由于目前使用较多的是ECDHE,本文只介绍该格式:
1byte,目前为常量0x03
该消息是可选的,如果服务端需要验证客户端身份,可以通过该消息要求客户端提供证书
哈希和签名算法列表,从TLS1.2开始,之前版本不存在该字段;用2bytes存储算法列表占用的字节数;
每个Algorithm由hash(1byte)+signature(1byte)组成;
和 Server certificate 相同
该消息由客户端发送到服务端,校验证书
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)