什么是SSL证书？

您收到SSL证书后，将其安装在您的服务器上。您还可以安装一个中间证书，该证书将您的SSL证书绑定到CA的根证书，从而建立您的SSL证书的可信度。安装和测试证书的说明会根据服务器的不同而有所不同。

在下图中，您可以看到所谓的证书链。它通过中间证书将您的服务器证书连接到CA的根证书（在本例中为DigiCert）。

SSL证书的最重要之处在于DigiCert等受信任的CA对其进行了数字签名。任何人都可以创建证书，但浏览器只信任来自其受信任CA列表中的组织的证书。浏览器带有预安装的受信任CA列表，此列表被称为受信任的根CA存储。为了进入受信任的根CA存储并因此成为证书颁发机构，这类企业必须遵守浏览器制定的安全和身份验证标准并据此接受审核。

CA向某组织及其域名/网站颁发的SSL证书能够验证，受信任的第三方已经对该组织的身份进行了身份验证。由于浏览器信任CA，因此现在浏览器信任该组织的身份。浏览器让用户知道，该网站是安全的，并且用户可以放心浏览该网站，甚至输入其机密信息。

什么是安全套接字层（SSL）？

安全套接字层（SSL）是一种标准安全技术，用于在服务器和客户端之间建立加密链接——通常是Web服务器（网站）和浏览器，或电子邮件服务器和电子邮件客户端（例如Outlook）之间。它比TLS或传输层安全性（SSL的后继技术）更加广为人知。

SSL证书如何建立安全连接？

当浏览器试图访问受SSL保护的网站时，浏览器和Web服务器使用所谓的“SSL握手”流程建立SSL连接（见下图）。请注意，SSL握手对用户是不可见的，并且是即时发生的。

实质上，建立SSL连接使用了三个密钥：公钥、私钥和会话密钥。任何使用公钥加密的内容只能用私钥解密，反之亦然。
由于使用私钥和公钥进行加密与解密需要大量的处理能力，因此它们仅在SSL握手期间被用于创建对称会话密钥。安全连接建立之后，会话密钥被用于加密所有被传输的数据。

1. 浏览器连接到使用SSL（https）保护的Web服务器（网站）。浏览器请求服务器标识自己的身份。
2. 服务器发送其SSL证书的副本，包括服务器的公钥。
3. 浏览器根据受信任CA列表检查证书根，并检查该证书是否未过期、未吊销，以及其通用名称是否对拟连接的网站有效。如果浏览器信任该证书，它会使用服务器的公钥创建、加密并传回对称会话密钥。
4. 服务器使用其私钥解密对称会话密钥，并传回使用会话密钥加密的确认以开启加密会话。
5. 服务器和浏览器现在使用会话密钥加密所有被传输的数据。