一、什么是 SSL 证书，什么是 HTTPS

【SSL】: 目前互联网常用的HTTP协议是非常不安全的明文传输协议。而SSL协议及其继任者TLS协议，是一种实现网络通信加密的安全协议，可在客户端（浏览器）和服务器端（网站）之间建立一条加密通道，保证数据在传输过程中不被窃取或篡改。

【HTTPS】: https叫安全的超文本传输协议，使用TCP端口443，他的数据会用PKI中的公钥进行加密，这样抓包工具捕获到的数据包也没有办法看包中的内容，安全性大大提高，要解密数据的话就要用到PKI中的私钥。所以一些安全性比较高的网站如：网上银行，电子商务网站都需要用https访问！

SSL 与 https 的联系

二、什么网站需要使用SSL证书，

1、购物交易类网站

不用多说，网上银行、支付宝、Paypal等肯定会全程加密以保护你的信息安全。

2、注册与登陆

一些大的网站，比如电子邮箱，注册会员或者登陆的时候，会专门通过SSL通道，保证密码安全不被窃取。

3、某些在线代理 或 实现加密传输 或 认证服务器真实身份

用户通过http协议访问网站时，浏览器和服务器之间是明文传输，这就意味着用户填写的密码、帐号、交易记录等机密信息都是明文，随时可能被泄露、窃取、篡改，被黑客加以利用。

安装SSL证书后，使用Https加密协议访问网站，可激活客户端浏览器到网站服务器之间的"SSL加密通道"（SSL协议），实现高强度双向加密传输，防止传输数据被泄露或篡改。

钓鱼欺诈网站泛滥，用户如何识别网站是钓鱼网站还是安全网站？网站部署全球信任的SSL证书后，浏览器内置安全机制，实时查验证书状态，通过浏览器向用户展示网站认证信息，让用户轻松识别网站真实身份，防止钓鱼网站仿冒。

三、受浏览器信任的证书

要获取受浏览器信任的证书，则需要到证书提供商处申请。证书授证中心，又叫做CA机构，为每个使用公开密钥的用户发放一个数字证书。浏览器在默认情况下内置了一些CA机构的证书，使得这些机构颁发的证书受到信任。VeriSign即是一个著名的国外CA机构，工行、建行、招行、支付宝、财付通等网站均使用VeriSign的证书，而网易邮箱等非金融网站采用的是中国互联网信息中心 CNNIC颁发的SSL证书。一般来说，一个证书的价格不菲，以VeriSign的证书为例，价格在每年8000元人民币左右。

据说也有免费的证书可以申请。和VeriSign一样，StartSSL也 是一家CA机构，它的根证书很久之前就被一些具有开源背景的浏览器支持（Firefox浏览器、谷歌Chrome浏览器、苹果Safari浏览器等）。后 来StartSSL竟然搞定了微软：在升级补丁中，微软更新了通过Windows根证书认证（Windows Root Certificate Program）的厂商清单，并首次将StartCom公司列入了该认证清单。现在，在Windows 7或安装了升级补丁的Windows Vista或Windows XP操作系统中，系统会完全信任由StartCom这类免费数字认证机构认证的数字证书，从而使StartSSL也得到了IE浏览器的支持。 网上很多如何申请合法证书的流程。

三、自行颁发不受浏览器信任的SSL证书

此处指针对使用较多的服务器Apache和nginx 说明

准备工作：确保你系统 已安装 openSSL 。

1、安装好apache环境，注意要装ssl版本的。这里装在c:/apache目录下。

2、apache 服务器 配置 ssl

Apache一般都自带openssl。

1）在DOS命令下进入apache/bin目录（因为openssl.exe程序是在此目录下，如何不是使用Apache自带的openssl,请进入相应的目录）

2）在windows环境下需先设置Openssl环境变量：

执行命令：set OPENSSL_CONF=..\conf\openssl.cnf   

解释：此处操作是为了让openssl找到openssl.cnf配置  ..\conf\openssl.cnf 是openssl.cnf对应的路径，请在执行之前确保 openssl.cnf 存在，否则会出现：WARNING: can't open config file: /usr/local/ssl/openssl.cnf 信息提示。还有在windows系统下.cnf 默认会被当成快捷方式，看不到扩展名。

3）生成私钥文件：

执行命令：openssl genrsa 1024>server.key

说明：这是用128位rsa算法生成密钥，得到server.key文件。 > 是输出文件的标识符

这种生成方法生成的是没有密钥的私钥文件。当然，Apache提供了加入密钥（Password）的命令，就是加入参数-des3。

加入参数后的命令：openssl genrsa 1024 -des3 > server.key

使用上述命令生成私钥文件是需要输入密钥的，运行的时候会让你输入并确认你的密钥。但是在Windows环境下会导致以下错误：错误：Apache启动失败，错误提示是：Init: SSLPassPhraseDialog builtin is not supported on Win32 (key file .....)

原因是window下的apache不支持加密的私钥文件。

注：生成的证书中RSA密钥对的默认长度是1024，取值是2的整数次方。建议使用4096以上。

所以最后使用的命令：openssl genrsa 4096 -des3 > server.key

4）生成证书请求文件。

执行命令：openssl req -new -key server.key > server.csr

说明：这是用步骤3的密钥生成证书请求文件server.csr, 这一步会有很多参数，需要一一输入。

按提示输入一系列的参数：

Country Name (2 letter code) [AU]:CN ISO国家代码（只支持两位字符）

State or Province Name (full name) [Some-State]:ZJ所在省份

Locality Name (eg, city) []:HZ所在城市

Organization Name (eg, company):SW_TECH公司名称

Organizational Unit Name (eg, section) []:SW_TECH组织名称

Common Name (eg, YOUR name) []:xxx.com申请证书的域名 （可以是*xxx.com）

Email Address []:admin@xxx.com 管理员邮箱

Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: 交换密钥

An optional company name []:  注：Common Name必须和httpd.conf中server name必须一致，否则apache不能启动 （启动apache时错误提示为：RSA server certificate CommonName (CN) `Kedou' does NOT match server name!? ）

5）签署服务器证书文件。

执行命令行:openssl req -x509 -days 3650 -key server.key -in server.csr > server.crt

说明：这是用步骤3,4的的密钥和证书请求生成证书server.crt，-days参数指明证书有效期，单位为天，x509表示生成的为X.509证书。

以上签署证书仅仅做测试用，真正运行的时候，应该将CSR发送到一个CA返回真正的证书。网上有些文档描述生成证书文件的过程比较繁琐，就是因为    他们自己建立了一个CA中心，然后再签署server.csr

用openssl x509 -noout -text -in server.crt 可以查看证书的内容。证书实际上包含了Public Key

3、配置httpd.conf

1) 打开httpd.conf文件，移除注释的行：

Include conf/extra/httpd-ssl.conf

LoadModule ssl_module modules/mod_ssl.so

2) 打开httpd-ssl.conf，修改如下：

SSLEngine On

SSLCertificateFile ../bin/server.crt

SSLCertificateKeyFile ../bin/server.key

#SSLCertificateChainFile ../bin//ca.crt // 暂未启用

#......

DocumentRoot "c:/apache/htdocs"

ServerName www.xxx.com:443

4、重启apahce服务，访问https://localhost，完工！

5、===========出现错误汇集==========

1,、"Syntax error on line 80 of c:/apache/conf/extra/httpd-ssl.conf:ErrorLog takes one argument,The filename of the error log"或者"Syntax error on line 99 of c:/apache/conf/extra/httpd-ssl.conf:SSLCertificateFile takes one argument,SSL Server Certificate file ('/path/to/file' -PEM or DER encoded)"

解决方法：文件路径加双引号

2、"Syntax error on line 76 of C:/apache/conf/extra/httpd-ssl.conf:SSLSessionCache:'shmcb'session cache not supported (known names: ). Maybe you need to load the appropriate socache module (mod_socache_shmcb?)."

解决办法：

打开httpd.conf，找到LoadModule socache_shmcb_module modules/mod_socache_shmcb.so，把前面的注释去掉。