為了創建安全連接,伺服器和瀏覽器需要證書頒發機構(CA)向企業頒發SSL證書。CA是可信的第三方,其證書會驗證企業的身份是否已經認證。(儘管任何人都可以創建證書,但Web瀏覽器面對證書時會檢查其受信任的CA列表;為避免安全相關的錯誤消息,證書必須來自受信任的CA。)SSL證書包含企業機構的名稱、域名、物理地址以及證書的過期日期,還有有關CA本身的信息。
為了開啟這一過程,管理員必須激活Web伺服器的SSL/TLS,創建一個證書籤名請求(CSR)文件,並填寫該證書所需要的企業信息。這個時候,伺服器會創建兩個加密密鑰:私鑰和公鑰。公鑰包含在CSR文件中,其中會將企業的信息關聯到該密鑰,然後管理員會發送完整文件給CA,CA驗證文件中的信息並發布SSL證書。接著,接收Web伺服器會將證書與私鑰進行比較。(CA沒有對私鑰的訪問權限;只有請求SSL證書的企業持有私鑰。)
請注意,為了獲得最高水平的安全性,企業應該至少使用2048位私鑰:小位數的密鑰已經被破解。現在很多企業都選擇4096位密鑰,但需要注意的是,現在有些智慧卡和讀卡器還不支持超過2048位的密鑰。
使用SSL證書可在伺服器和瀏覽器之間建立信任關係,而建立信任的過程涉及交換身份信息、SSL證書和密鑰,這被稱為SSL握手。當Web瀏覽器請求連接到Web伺服器上的安全網頁時(通過在瀏覽器的地址欄輸入地址),伺服器會發送SSL證書的副本和公鑰到瀏覽器。然後,瀏覽器會針對其信任CA列表來檢查該證書,以驗證該證書是來自可信方,驗證證書的有效性(有沒有過期)以及證書正在被對應的網站在使用。如果瀏覽器信任證書,它會發送消息回Web伺服器,伺服器會返回確認來啟動SSL加密會話,這意味著用戶可通過這個連接安全地發送機密信息。
Web瀏覽器會在瀏覽器中顯示掛鎖服務,並在地址欄使用https,讓用戶知道,該網站連接已加密且很安全。綠色地址欄表明擴展驗證SSL證書,我們將在下一章節里進行介紹。有些網站還會顯示來自CA的安全封條(標識)。