SSL数字证书

SSL数字证书

SSL数字证书（Secure Sockets Layer Digital Certificate），现实际指基于TLS协议的X.509公钥证书，是PKI体系中用于身份认证与通信加密的核心凭证。它由受信任的证书颁发机构（CA）签发，包含域名、公钥、有效期、签发者信息及数字签名等字段，遵循RFC 5280标准。

当客户端（如浏览器）访问启用HTTPS的网站时，服务器会发送该证书；客户端通过内置根证书列表验证其签名链完整性与有效期，并用证书中的公钥协商会话密钥，从而建立端到端加密通道。证书本身不加密数据，而是为TLS握手提供可信身份锚点与密钥交换基础。

根据验证强度与用途差异，主流分为：DV SSL证书（仅验证域名控制权）、OV SSL证书（验证组织真实存在）、EV SSL证书（扩展验证，曾显示绿色地址栏，现已被主流浏览器弱化显示）。此外，中国商用密码合规场景下广泛采用国密SSL证书（SM2算法+GM/T 0015-2012标准）。

需要注意的情况

• 自签名证书或私有CA签发的证书无法被公共浏览器默认信任，需手动导入根证书，仅适用于内网测试或特定封闭环境。
• Let’s Encrypt 等公开CA提供的免费ssl证书为DV类型，有效期90天，适合自动化部署，但不支持通配符多级子域（需DNS验证）及组织信息展示。
• 部分旧系统（如Windows Server 2008 R2、Android 4.x）缺乏对新根证书（如ISRG Root X1）的信任，可能造成证书链验证失败，需配置完整中间证书链。