SSL認證的工作流程

cert.pem : 根憑證，包含公開金鑰。key.pem : 私密金鑰。

cacert.pem : CA的crt檔案

認證如何操作？

　　--使用者串連到你的Web網站，該Web網站受伺服器憑證所保護。（可由查看 URL的開頭是否為"https:"來進行辯識，或瀏覽器會提供你相關的資訊）。

　　--你的伺服器進行響應，並自動傳送你網站的數位憑證給使用者，用於鑒別你的網站。

　　--使用者的網頁瀏覽器程式產生一把唯一的"會話鑰匙碼"，用以跟網站之間所有的通訊過程進行加密。

　　--使用者的瀏覽器以網站的公開金鑰對交談鑰匙碼進行加密，以便只有讓你的網站得以閱讀此交談鑰匙碼。

　　--現在，具有安全性的通訊過程已經建立。這個過程僅需幾秒中時間，且使用者不需進行任何動作。依不同的瀏覽器程式而定，使用者會看到一個鑰匙的表徵圖變得完整，或一個門栓的表徵圖變成上鎖的樣子，用於表示目前的工作階段具有安全性。

如何申請SSL認證？

　　申請SSL認證主要需要經過以下3個步驟：

　　1、製作CSR檔案。

  

SSL認證

CSR就是Certificate Secure Request認證請求檔案。這個檔案是由申請人製作，在製作的同時，系統會產生2個密鑰，一個是公開金鑰就是這個CSR檔案，另外一個是私密金鑰，存放在伺服器上。要製作CSR檔案，申請人可以參考WEB SERVER的文檔，一般APACHE等，使用OPENSSL命令列來產生KEY+CSR2個檔案，Tomcat，JBoss，Resin等使用KEYTOOL來產生JKS和CSR檔案，IIS通過嚮導建立一個掛起的請求和一個CSR檔案。

　　2、CA認證。

　　將CSR提交給CA，CA一般有2種認證方式：1、網域名稱認證，一般通過對管理員郵箱認證的方式，這種方式認證速度快，但是簽發的認證中沒有企業的名稱；2、企業文檔認證，需要提供企業的營業執照。一般需要3-5個工作日。 也有需要同時認證以上2種方式的認證，叫EV認證，這種認證可以使IE7以上的瀏覽器地址欄變成綠色，所以認證也最嚴格。

　　3、認證的安裝。

　　在收到CA的認證後，可以將認證部署上伺服器，一般APACHE檔案直接將KEY+CER複製到檔案上，然後修改HTTPD.CONF檔案；TOMCAT等，需要將CA簽發的認證CER檔案匯入JKS檔案後，複製上伺服器，然後修改SERVER.XML；IIS需要處理掛起的請求，將CER檔案匯入。