这里所说的“三级证书”只指用户的SSL证书是在“受信任的根证书颁发机构”下的“中级证书颁发机构”下颁发的证书,而“二级证书”只指用户的SSL证书是直接在“受信任的根证书颁发机构”下颁发的证书。两种不同级别的SSL证书各有各的好处:
一、认为二级证书好的主要有两个理由
1、二级证书安装简单,不用安装中级根证书
2、二是会加快SSL加密协商过程
二、认为三级证书好的也有两个理由
1、三级证书的安全性更好,因为CA可以把顶级根证书脱机放在一个安全的地方,而联机颁发证书的是中级根证书,一旦中级根证书遭到破坏,还可以从顶级根证书颁发一个中级根证书来重新给用户颁发证书。但如果让顶级根证书联机颁发证书,则一旦顶级根证书遭到破坏,则是灾难性的损失,使得CA再也无法颁发证书了,因为根证书是无法重新设置的,重新设置的根证书已经不是原来的根证书了
2、在中级根证书下颁发证书会大大减少证书吊销列表的容量,从而加快每次验证SSL证书有效性的速度。另外,实际上在中级根证书下安装证书同二级证书安装一样容易,因为一般由中级根证书颁发的证书都支持PKCS#7格式(证书中已经含有中级根证书)。
根据微软网站上的有关证书服务文档,微软认为:为了根证书的安全,应该使用脱机的根证书来创建证书层次结构,不同用途的证书使用不用的中级根证书来颁发。同时,证书颁发机构的层次结构也提供了管理上的好处,包括:
CA 安全环境的灵活配置在安全性和可用性之间达成了一种平衡,如密钥强度、物理保护和网络保护免受攻击。例如,可以选择在根 CA 上使用具有特别用途的加密硬件,在物理安全区对它进行操作,或脱机进行操作。
这里所说的“三级证书”只指用户的SSL证书是在“受信任的根证书颁发机构”下的“中级证书颁发机构”下颁发的证书,而“二级证书”只指用户的SSL证书是直接在“受信任的根证书颁发机构”下颁发的证书。两种不同级别的SSL证书各有各的好处:
一、认为二级证书好的主要有两个理由
1、二级证书安装简单,不用安装中级根证书
2、二是会加快SSL加密协商过程
二、认为三级证书好的也有两个理由
1、三级证书的安全性更好,因为CA可以把顶级根证书脱机放在一个安全的地方,而联机颁发证书的是中级根证书,一旦中级根证书遭到破坏,还可以从顶级根证书颁发一个中级根证书来重新给用户颁发证书。但如果让顶级根证书联机颁发证书,则一旦顶级根证书遭到破坏,则是灾难性的损失,使得CA再也无法颁发证书了,因为根证书是无法重新设置的,重新设置的根证书已经不是原来的根证书了
2、在中级根证书下颁发证书会大大减少证书吊销列表的容量,从而加快每次验证SSL证书有效性的速度。另外,实际上在中级根证书下安装证书同二级证书安装一样容易,因为一般由中级根证书颁发的证书都支持PKCS#7格式(证书中已经含有中级根证书)。
根据微软网站上的有关证书服务文档,微软认为:为了根证书的安全,应该使用脱机的根证书来创建证书层次结构,不同用途的证书使用不用的中级根证书来颁发。同时,证书颁发机构的层次结构也提供了管理上的好处,包括:
CA 安全环境的灵活配置在安全性和可用性之间达成了一种平衡,如密钥强度、物理保护和网络保护免受攻击。例如,可以选择在根 CA 上使用具有特别用途的加密硬件,在物理安全区对它进行操作,或脱机进行操作。
ssl二级域名证书可以申请单域名SSL证书,如果有多个二级域名需要保护建议申请通配符SSL证书,它是可以保护一个域名及其所有的下一级子域名,特别适合拥有大量二级域名的用户。申请流程如下:第一步:将CSR提交到代理商
CSR(Certificate Signing Request)文件必须由用户自己生成,也可以利用在线CSR生成工具。选择要申请的产品,提交一个新的订单,并将制作好的CSR文件提交。
第二步 资料提交到CA
当收到您的订单和CSR后,如果是域名验证型证书(DV SSL证书),在域名验证之后10分钟左右就可颁发证书,若是其他类型证书则是需要通过CA机构进行验证之后才可颁发。
第三步 发送验证邮件到管理员邮箱
权威CA机构获得资料后,将发送一封确认信到管理员邮箱,信中将包含一个 对应的链接过去。每一个订单,都有一个唯一的PIN以做验证用。
第四步 邮件验证
点击确认信中的链接,可以访问到CA机构验证网站,在验证网站,可以看到该订单的申请资料,然后点击”I Approve”完成邮件验证。
第五步 颁发证书
在用户完成邮件验证之后,CA机构会将证书通过邮件方式发送到申请人自己的邮箱,当用户收到证书后直接安装就可以了。若安装存在问题,我们是提供免费证书安装服务的。
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)