ENGLISH 4006-967-446

什么是根证书?

通过签名流程,公钥基础设施(PKI)能够将一个身份和公共秘钥捆绑在一起。该签名是由根来执行的(或者用一个锁住根的中间体)。这就是你识别证书是否有效,以及你是否想要信任它的方法。

如果你拥有签发证书的根的公钥,那么你就可以知道,绑定公钥的身份是有效的,可以受到信任。这全都是因为这个证书是由根签发的。

什么是公共根和私有跟?

无论用私有还是公共根签发,签发证书过程中所使用的技术都是一样的。我们并没有改变密码学或签名,我们只是说,已经将公众可信任的根分配出去,给了浏览器,操作系统,手机等。诸如Chrome和Firefox那样的浏览器都有根存储库,在那里保存着他们可以信任的根列表。

私有根与公共根是不同的,因为私有根没有被分配到主要浏览器和操作系统的信任库。私有根是由公司或CA机构创建的,而且并不会包含在谷歌和Mozilla浏览器的信任列表中。

它是一个私有根,因为它受到了公司想要在内部将根分配给它的所有系统的信任。他们可以将私有根分配到其服务器上,或其部分服务器、手机、台式机和笔记本电脑上。他们可以从该私有根签发证书,用以检查证书是否有效,而这个根将被他们交付的任何系统所信任。

因为公共和私有根背后的技术是相同的——证书看起来一样,并且能够使用相同的hash算法来签发证书——所以接下来的问题将是,什么时候使用私有根,什么时候又使用公共根?

什么时候应该使用私有根,什么时候又该使用公共根?

私有根对内部操作是有帮助的。然而,当你谈论面向公众的网页时,你就需要一个来自公共根的证书。想想你的网站。当用户访问你的站点时,他们的浏览器拥有根吗?如果是私有根,答案取决于网站是否是通过企业管理的计算机访问的。

如果你已经将私有根分配给了这个设备,浏览器就能拥有私有根。如果证书是由私有根签发的,而该私有根已经添加到了浏览器的信任存储列表中,那么当证书连接到网页时,浏览器就会信任它。

但是,如果这是一个世界上任何人都可以访问的公共网页呢?情况又会是什么样?除非你已经将你的私有根分配给了所有用来访问页面的单个设备上(这是不可能的),用户将会收到一条警告信息,称签发证书的根是不可信的。

如今,浏览器正在发出严重警告信息。这样,用户要么不能访问页面,要么会被强迫更改其设置,以便进行连接。显然,这不是一个好的事情。

什么场景需要用私用根?

内部服务认证是私有根的一个强大的使用用例。比如,私有根对验证虚拟专用网络(VPN)、内部Wi-Fi,wiki页面、或其他支持多因素认证的服务的连接是非常有用的。

在所有这些案例中,你能够控制检查证书有效性的服务器实例,因此,私有根将可以很好进行工作。你的内部操作团队可以将你自己的私有根指定为证书的发行者,当系统对有效性进行检查时,它可以看到它是由你自己的私有根签发的。

相比公共根,使用私有根有属于它自己的好处。如果它是你的企业的专用私有根,那么只有你的团队才能从这个根签发证书。其他任何人都不可以从这个根签发证书。在配置证书文件方面,以及对于在证书中指定的主体来说,从私有根签发的证书有更大的灵活性。

私有根在身份认证方面的好处可以归结于控制。如果你有一个属于自己的专用的私有根,那么你就会对签发流程、证书文件和在证书中指定到的主体有更多的控制权。因为你拥有更多的控制权,所以你的确定性会更大,知道只有你自己才有权利从私有根签发证书。

CA根证书知识汇总

如何选择SSL证书?

1、确认需要申请证书的域名

确认需要申请SSL证书的域名及数量。

单域型:您只有单个域名需要使用SSL证书,可选择任意一款沃通SSL证书,购买domain.com,赠送www.domain.com,反之亦然。

多域型:如果您有多个完全不同的域名需要使用SSL证书,可选择任意一款沃通SSL证书,沃通SSL证书产品均支持多域名。多域型SSL证书支持绑定多个完全不同的域名(如:domain.com、ABC.com、123.com),最多支持100个域名。

通配型:如果您有多个顶级域名相同的子域名需要使用SSL证书,请选择支持通配域名的沃通超真SSL Pro、超真SSL Pre和超快SSL Pre证书。通配型SSL证书支持绑定同一主域名下所有二级子域名(如:*.domain.com通配符下的A.domain.com、B.domain.com、C.domain.com等子域名)。

  单域型证书 多域型证书 通配型证书
绑定域名 可绑定1个域名 可绑定多个不同主域名或子域名 可绑定同一主域名下所有二级子域名
域名示例 可绑定任意一个域名 使用一张多域型证书,可同时保护以下各种不同主域名或子域名:
www.domain.com
www.otherdomain.com
www.anydomain.net
mail.domain.com
api.otherdomain.com
……
为通配符域名 *.domain.com 申请证书,以下域名均可使用:
api.domain.com
download. domain.com
info. domain.com
……
相关产品 沃通SSL证书均支持单域名 沃通SSL证书均支持多域名 以下产品支持通配域名:
沃通超真SSL Pro
沃通超真SSL Pre
沃通超快SSL Pre

2、确认需要申请的证书级别

EV SSL证书(扩展验证型):最高信任级别的SSL证书,扩展验证网站所属单位身份,适合需要重点树立的可信形象的网站,如:网银、金融、政府等领域的网站或应用。

OV SSL证书(企业验证型):企业级SSL证书,验证网站所属单位真实身份,适合企业/单位等组织机构的网站使用。

DV SSL证书(域名验证型):只验证域名所有权,不验证网站所有者的真实身份,适合个人网站、博客等没有身份认证需求的网站使用。

产品名称 沃通超安SSL证书 沃通超真SSL证书 沃通超快SSL证书
产品级别 EV SSL OV SSL DV SSL
信任级别 信任级别信任级别信任级别信任级别 信任级别信任级别信任级别信任级别 信任级别信任级别信任级别信任级别
适用对象 适合企业/单位官网及网上银行、金融证券、政府门户等需要重点树立可信形象的网站。 适合各类企业/单位等组织机构的网站、移动应用服务器使用。 仅适合于个人网站或没有身份认证需求的网站,不显示单位名称,无法验证服务器真实身份。
显示特点 浏览器显示绿色地址栏
浏览器显示单位名称
https加密协议访问
浏览器显示安全锁
点击安全锁显示网站认证信息
https加密协议访问
浏览器显示安全锁
点击安全锁显示网站认证信息
https加密协议访问
浏览器显示安全锁
点击安全锁显示已验证域名
域名类型 支持单域名、多域名 支持单域名、多域名、通配域名 支持单域名、多域名、通配域名
  立即申请 立即申请 立即申请

关于沃通

沃通CA专注数字证书行业十余年,持续提供全球信任的SSL证书,支持所有浏览器和移动终端,具备最广泛的兼容性;提供不同认证级别的DV SSL证书/OV SSL证书/EV SSL证书,满足不同客户的应用需求;支持通配符域名和多域名,适用于多域名、多服务器、负载均衡等不同应用场景。多年的行业经验积累让沃通具备更专业的服务能力,资深团队提供从售前到售后的全流程服务,7×24小时响应服务、一对一技术指导,帮助用户正确部署SSL证书。