隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全也越來越重要，對于網(wǎng)站來說，從Http升級到https也是我們要做的首要事情。要實(shí)現(xiàn)https，首先我們需要申請一張SSL證書，這篇文章我主要介紹下邊這幾個(gè)方面：

1. SSL簡單介紹

2. 免費(fèi)Letencrypt證書部署

3. 安裝注意事項(xiàng)

一.SSL簡單介紹

　　ssl作為一個(gè)網(wǎng)絡(luò)加密協(xié)議，主要是存在于系統(tǒng)中應(yīng)用層和傳輸層之間的一個(gè)安全套接字層（Secure Socket Layer），也就是位于TCP/IP協(xié)議和各個(gè)應(yīng)用層協(xié)議之間，為應(yīng)用數(shù)據(jù)傳輸提供加密的協(xié)議。當(dāng)然它內(nèi)部又分記錄協(xié)議和握手協(xié)議兩個(gè)部分，這里如果有興趣的可以去詳細(xì)了解一下，我先簡單介紹一下流程性的東西。

　　它的工作流程大概可以理解為這樣，客戶端發(fā)起網(wǎng)絡(luò)請求給服務(wù)端，發(fā)起握手，交換證書信息，建立連接。簡單來說分為下邊幾部：

　　客戶端：發(fā)送其支持的ssl版本和加密方式給服務(wù)端。

　　服務(wù)端：選擇加密方式并發(fā)送證書和公鑰給客戶端

　　客戶端：驗(yàn)證證書信息，并通過公鑰生成共享秘鑰，交換

　　服務(wù)端：好，咱們可以傳遞加密數(shù)據(jù)了

　　以上是簡單的描述了握手的過程，每一步都可以繼續(xù)分解，可以自行查找相關(guān)文檔深入了解。

　　這里需要介紹的另外一個(gè)協(xié)議TLS，這個(gè)協(xié)議建立在SSL3.0規(guī)范之上，更加嚴(yán)格明確。其中它又有一個(gè)擴(kuò)展協(xié)議叫做 SNI（Server Name Indication-服務(wù)器名稱指示），這里介紹下它的主要作用。

　　在我們常用的主機(jī)中，可能會有很多站點(diǎn)，我們并不能夠一次性提前獲知將使用此服務(wù)器的所有域名列表，但是我們不能每次修改域名重新頒發(fā)一次證書，所以有了SNI，讓我們可以在一臺主機(jī)上能夠部署多個(gè)證書， 使得服務(wù)器可以在握手階段選擇正確虛擬域，并發(fā)送對應(yīng)證書。在IIS8.0以上版本中，我們綁定域名時(shí)會有如下的選項(xiàng)：

　　 當(dāng)前有很多免費(fèi)和收費(fèi) ssl的證書提供商可以供我們選擇，當(dāng)然我們也可以自己作為頒發(fā)主體，制作ssl證書，不過像谷歌等瀏覽器對于不受信任的證書機(jī)構(gòu)在頁面上會給提示存在安全風(fēng)險(xiǎn)，阻止訪問，這對用戶體驗(yàn)來說是非常糟糕的。根據(jù)安全等級，當(dāng)前ssl證書根據(jù)主要有以下幾類：

　　EV - 業(yè)界頂級SSL證書，部署了EV SSL證書的網(wǎng)站，地址欄會變成醒目的綠色，并且顯示網(wǎng)站所屬企業(yè)名稱

　　OV - 使用較為廣泛的企業(yè)驗(yàn)證型SSL證書，部署了OV SSL證書之后，地址欄會有安全鎖標(biāo)識顯示

　　DV - 只驗(yàn)證域名，快速簽發(fā)的SSL證書。也會在地址欄顯示安全鎖標(biāo)識，但證書詳情里面不顯示O字段，不顯示使用者名稱，只顯示域名