SSL 證書簡單說就是遵守 SSL協議,由受信任的數字證書頒發機構CA,在驗證服務器身份後頒發,具有服務器身份驗證和數據傳輸加密功能。
身份認證是通過域名和組織(企業)兩方面進行的,認證不分時間先後,可以先做域名認證再做組織,反之亦然。
域名認證
1、管理員郵箱
證書頒發機構CA會往管理員郵箱發送一封驗證郵件,您收到郵件後無需回覆只需要點擊approve即可完成驗證。管理員郵箱指的是客戶在註冊域名時填寫的郵箱,除了管理員郵箱還有其他郵箱也可以認證域名。
例如:您申請證書時綁定的域名是abc.com,那麼下面的這些郵箱都可用來認證域名所有權。
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]2、DNS解析
需要您在域名註冊商平臺添加一條TXT解析記錄,記錄值由證書頒發機構CA以郵件方式發到證書申請人的郵箱
3、文件驗證
a、CA以郵件方式將驗證隨機字串符發到證書申請人郵箱 ;
b、 需要您保存隨機字串符為 fileauth.txt 文本文件 ;
c、 聯繫站點網站的運維人員獲取服務器的操作權限
d、 進 入 站 點 的 網 站 應 用 目 錄 的 根 目 錄 下 創 建 指 定 的 驗 證 文 件 路 徑 , 在 根 目 錄 下 創 建 /.well-known/pki-validation/fileauth.txt 目錄,並將 fileauth.txt 文件上傳,可以使用 mkdir 命令來創 建.well-know 文件夾。
e、 測試訪問: http(s)://abc.com/.well-known/pki-validation/fileauth.txt
當您訪問鏈接能看到CA給您提供的隨機字符串時表示驗證成功
組織驗證(DV證書除外)
證書申請人需向CA提供營業執照,事業單位法人證書,組織機構代碼證等能證明單位真實身份的法定證件,再次基礎上還需要第三方公示的電話或者郵箱驗證組織身份。
第三方公示的電話和郵箱是指最新的企業年度報告公示的電話和郵箱以及企業在114登記的電話。
具體驗證過程是CA會撥打電話或者發郵件方式和證書申請人確認其身份(姓名,手機號,郵箱以及單位名稱),確認後在域名驗證通過的基礎上一般當天最晚次日即可簽發證書啦!
以上就是SSL證書籤發前需要經過的認證流程,如有問題歡迎大家指正!