什么是SSL证书

SSL证书是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上，也称为SSL服务器证书。SSL证书就是遵守 SSL协议，由受信任的数字证书颁发机构CA，在验证服务器身份后颁发，具有服务器身份验证和数据传输加密功能

SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道（Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证；对传送的数据进行加密和隐藏；确保数据在传送中不被改变，即数据的完整性，现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中，因此，仅需安装服务器证书就可以激活该功能了），即通过它可以激活SSL协议，实现数据信息在客户端和服务器之间的加密传输，可以防止数据信息的泄露。保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。数位签名又名数字标识、签章 (即 Digital Certificate，Digital ID )，提供了一种在网上进行身份验证的方法，是用来标志和证明网路通信双方身份的数字信息文件，概念类似日常生活中的司机驾照或身份证相似。 数字签名主要用于发送安全电子邮件、访问安全站点、网上招标与投标、网上签约、网上订购、安全网上公文传送、网上办公、网上缴费、网上缴税以及网上购物等安全的网上电子交易活动。

SSL证书链包含哪些内容

我们通常所说的CA证书，其实是指有CA签发的证书，所以在一个SSL证书中我们可以看到1到多个CA，一个是根CA，另外的是中间CA，最后是我们被授权的域名，请看图（查看方法：Chrome浏览器点击锁的标志，点击详细信息，点击View Certificate）

简单说明：
VeriSign为顶级CA，一般情况下会预置在我们的系统当中
Symantec Class 3 Secure CA – G4为中间CA，其证书由顶级CA VeriSign签发
我们的域名www.talkingdata.com则由中间CA进行签发

当我们访问一个域名的时候，设备会在自身的系统当中查找此CA是否被信任，如果是不被信任的CA，那么所签发的所有证书都会被拒绝，并返回一个错误，例如著名的12306

NGINX如何配置

其实配置nginx的证书服务非常简单，但是由于客户不明白个中原理，所以给的文件都会有问题，建议条件允许的情况下我们自己操作下载证书文件

当我们购买完证书，大概会得到一个压缩包，其中会包括如下内容：

获取到对应的服务器类型的证书及key（有些不带key，是在购买之前生成的）
解压之后可以放到对应的服务器的目录下面
如果我们解压这个文件其实不难看出：
nginx使用的是ca证书与签发的证书bundle在一起的，域名的证书在最前面，后面跟CA证书（包括中间CA的），而Apache服务器则将CA证书（含中间CA）与域名的证书分开，不同的web服务器对于证书的处理各有不同，需要查看对应web服务器的配置

nginx配置

server {
listen 443 ssl; #填写HTTPS的监听端口，HTTPS默认端口是443，可以自定义
server_name www.example.com;#HTTPS对应的域名，需要与证书域名对应，也可以用_进行泛域匹配（不推荐）
ssl_certificate www.example.com.crt;#HTTPS的CRT文件，从购买证书的网站可以用自己的账号下载到；
ssl_certificate_key www.example.com.key;#HTTPS的KEY文件，同样可以在购买的网站下载到；
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;#SSL支持的协议，建议配置，提高安全等级；
ssl_ciphers HIGH:!aNULL:!MD5;#SSL指纹，最后这两项在最新版中已经默认此配置，即使不配置，也可以获取较高的安全等级
...
}

Apache httpd配置

#SSL证书文件
SSLCertificateFile  /usr/local/ssl/crt/public.crt
#SSL key文件
SLCertificateKeyFile  /usr/local/ssl/private.key
#SSL 中间CA证书
SSLCertificateChainFile /usr/local/ssl/intermediate.crt