SSL 證書簡單說就是遵守 SSL協定,由受信任的數字證書頒發機構CA,在驗證伺服器身份後頒發,具有伺服器身份驗證和資料傳輸加密功能。
身份認證是通過域名群組織(企業)兩方面進行的,認證不分時間先後,可以先做域名認證再做組織,反之亦然。
域名認證
1、管理者郵箱
證書頒發機構CA會往管理者郵箱發送一封驗證郵件,您收到郵件後無需回複隻需要點選approve即可完成驗證。
管理者郵箱指的是客戶在注冊域名時填寫的郵箱,除了管理者郵箱還有其他郵箱也可以認證域名。
例如:您申請證書時綁定的域名是abc.com,那麼下面的這些郵箱都可用來認證域名所有權。
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
2、DNS解析
需要您在域名注冊商平台添加一條TXT解析記錄,記錄值由證書頒發機構CA以郵件方式發到證書申請人的郵箱
3、檔案驗證
a、CA以郵件方式将驗證随機字串符發到證書申請人郵箱 ;
b、 需要您儲存随機字串符為 fileauth.txt 文本檔案 ;
c、 聯系站點網站的運維人員擷取伺服器的操作權限
d、 進 入 站 點 的 網 站 應 用 目 錄 的 根 目 錄 下 創 建 指 定 的 驗 證 文 件 路 徑 , 在 根 目 錄 下 創 建 /.well-known/pki-validation/fileauth.txt 目錄,并将 fileauth.txt 檔案上傳,可以使用 mkdir 指令來創 建.well-know 檔案夾。
e、 測試通路: http(s)://abc.com/.well-known/pki-validation/fileauth.txt
當您通路連結能看到CA給您提供的随機字元串時表示驗證成功
組織驗證(DV證書除外)
證書申請人需向CA提供營業執照,事業機關法人證書,組織機構代碼證等能證明機關真實身份的法定證件,再次基礎上還需要第三方公示的電話或者郵箱驗證組織身份。
第三方公示的電話和郵箱是指最新的企業年度報告公示的電話和郵箱以及企業在114登記的電話。
具體驗證過程是CA會撥打電話或者發郵件方式和證書申請人确認其身份(姓名,手機号,郵箱以及機關名稱),确認後在域名驗證通過的基礎上一般當天最晚次日即可簽發證書啦!
以上就是SSL證書簽發前需要經過的認證流程,如有問題歡迎大家指正!