很多網友其實也知道，我們現在能夠安全地瀏覽一個網址，與SSL數字證書作用離不開關系。在SSL數字證書作用下，用戶的信息得到了很好地保護，使之不會被第三方截取。這也使得很多企業開始為自己的網址部署SSL數字證書。但是在申請證書的時候，很多人便遇上了難題。申請數字證書的過程是怎么樣的？

申請數字證書的流程：

1、需要生成證書請求文件（CSR文件）：在申請證書之前，用戶需要先在對應的服務器上制作一個CSR文件，而這個文件的公鑰將被用來生成私鑰；

2、申請數字證書：申請合適的數字證書，SSL數字證書有三種不同的分類需要用戶根據自己網址的類型申請相對應的證書，申請的過程需要提交CSR文件：

①DV SSL：適用于中小型企業以及個人網站；

②OV SSL：適用于一般的公司企業以及金融機構；

③EV SSL：適用于大型企業以及政府機構的站點；

3、下載SSL證書：完成申請之后，在證書購買的網址下根據提示下載對應的SSL數字證書，并完成證書請求；

4、安裝數字證書：將下載好的數字證書連接至計算機，并進行安裝；在申請站點的“添加”類型中，選擇https類型。

完成了以上步驟，就大致完成了證書申請以及安裝。最后只需要重新啟動服務器，看看部署數字證書的網址的前綴是否由原來的http轉化為了https，若成功轉變，則安裝成功；若沒有，可以選擇重新啟動服務器或是再次進行以上的操作。

一、什么是數字證書

數字證書就 是互聯網通訊中標志通訊各方身份信息的一系列數據，提供了一種在Internet上驗證您身份的方式，其作用類似于司機的駕駛執照或日常生活中的身份證。 它是由一個由權威機構–CA機構，又稱為證書授權中心發行的，人們可以在網上用它來識別對方的身份。數字證書是一個經證書授權中心(數安時代GDCA)數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。一般情況下證書中還包括密鑰的有效時間，發證機關(證書授權中心)的名稱，該證書的序列號等信息，證書的格式遵循 ITUT X.509國際標準。

一個標準的X.509數字證書包含以下一些內容：

·證書的版本信息;

·證書的序列號，每個證書都有一個唯一的證書序列號;

·證書所使用的簽名算法;

·證書的發行機構名稱，命名規則一般采用X.500格式;

·證書的有效期，現在通用的證書一般采用UTC時間格式，它的計時范圍為1950-2049;

·證書所有人的名稱，命名規則一般采用X.500格式;

·證書所有人的公開密鑰;

·證書發行者對證書的簽名。

二、為什么要用數字證書

基于Internet網的電子商務系統技術使在網上購物的顧客能夠極其方便輕松地獲得商家和企業的信息，但同時也增加了對某些敏感或有價值的數 據被濫用的風險。買方和賣方都必須對于在因特網上進行的一切金融交易運作都是真實可靠的，并且要使顧客、商家和企業等交易各方都具有絕對的信心，因而因特網電子商務系統必須保證具有十分可靠的安全保密技術，也就是說必須保證網絡安全的四大要素，即信息傳輸的保密性、數據交換的完整性、 發送信息的不可否認性、交易者身份的確定性。

1、信息的保密性

交易中的商務信息均有保密的要求。如信用卡的帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。

2、交易者身份的確定性

網上交易的雙方很可能素昧平生，相隔千里。要使交易成功首先要能確認對方的身份，對商家要考慮客戶端不能是騙子，而客戶也會擔心網上的商店不是 一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。對于為顧客或用戶開展服務的銀行、信用卡公司和銷售商店，為了做到安全、保密、可靠地 開展服務活動，都要進行身份認證的工作。對有關的銷售商店來說，他們對顧客所用的信用卡的號碼是不知道的，商店只能把信用卡的確認工作完全交給銀行來完 成。銀行和信用卡公司可以采用各種保密與識別方法，確認顧客的身份是否合法，同時還要防止發生拒付款問題以及確認訂貨和訂貨收據信息等。

3、不可否認性

由于商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單后，金價上漲了，如收 單方能否認受到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。

4、不可修改性

交易的文件是不可被修改的，如上例所舉的訂購黃金。供貨單位在收到訂單后，發現金價大幅上漲了，如其能改動文件內容，將訂購數1噸改為1克，則可大幅受益，那么訂貨單位可能就會因此而蒙受損失。因此電子交易文件也要能做到不可修改，以保障交易的嚴肅和公正。

人們在感嘆電子商務的巨大潛力的同時，不得不冷靜地思考，在人與人互不見面的計算機互聯網上進行交易和作業時，怎么才能保證交易的公正性和安全 性，保證交易雙方身份的真實性。國際上已經有比較成熟的安全解決方案，那就是建立安全證書體系結構。數字安全證書提供了一種在網上驗證身份的方式。安全證 書體制主要采用了公開密鑰體制，其它還包括對稱密鑰加密、數字簽名、數字信封等技術。

我們可以使用數字證書，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統，從而保證：信息除發送方和接收方外不被其它人竊取;信息在傳輸過程中不被篡改;發送方能夠通過數字證書來確認接收方的身份;發送方對于自己的信息不能抵賴。

三、數字證書原理介紹

數字證書采用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰(私鑰)，用它進行解密和 簽名;同時設定一把公共密鑰(公鑰)并由本人公開，為一組用戶所共享，用于加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而 接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。在公開密 鑰密碼體制中，常用的一種是RSA體制。其數學原理是將一個大數分解成兩個質數的乘積，加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰 (公開密鑰)，想要推導出解密密鑰(私密密鑰)，在計算上是不可能的。按現在的計算機技術水平，要破解目前采用的1024位RSA密鑰，需要上千年的計算 時間。公開密鑰技術解決了密鑰發布的管理問題，商戶可以公開其公開密鑰，而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發送的信息進行加密，安全地 傳送給商戶，然后由商戶用自己的私有密鑰進行解密。

用戶也可以采用自己的私鑰對信息加以處理，由于密鑰僅為本人所有，這樣就產生了別人無法生成的文件，也就形成了數字簽名。采用數字簽名，能夠確認以下兩點：

(1)保證信息是由簽名者自己簽名發送的，簽名者不能否認或難以否認。

(2)保證信息自簽發后到收到為止未曾作過任何修改，簽發的文件是真實文件。

數字簽名具體做法是:

(1)將報文按雙方約定的HASH算法計算得到一個固定位數的報文摘要。在數學上保證:只要改動報文中任何一位，重新計算出的報文摘要值就會與原先的值不相符。這樣就保證了報文的不可更改性。

(2)將該報文摘要值用發送者的私人密鑰加密，然后連同原報文一起發送給接收者，而產生的報文即稱數字簽名。

(3)接收方收到數字簽名后，用同樣的HASH算法對報文計算摘要值，然后與用發送者的公開密鑰進行解密解開的報文摘要值相比較。如相等則說明報文確實來自所稱的發送者。

四、證書與證書授權中心

CA機構，又稱為證書授證(Certificate Authority)中心，作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。CA中心為每個使用公開密鑰的用戶發放一個數字證書，數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構的數字簽名使得攻擊者不能偽造和篡改證書。它負責產生、分配并管理所有 參與網上交易的個體所需的數字證書，因此是安全電子交易的核心環節。

由此可見，證書授權(CA)中心是開拓和規范電子商務市場必不可少的一步。為保證用戶之間在網上傳遞信息的安全性、真實性、可靠性、完整性和不可抵 賴性，不僅需要對用戶的身份真實性進行驗證，也需要有一個具有權威性、公正性、唯一性的CA機構，負責向電子商務的各個主體頒發并管理符合國內、國際安全 電子交易協議標準的電子商務安全數字證書。