Nginx系列之支持SSL认证

在了解Nginx支持SSL认证前，先来看看SSL相关的基础概念。SSL是指安全套接字层，简而言之，它是一项标准技术，可确保互联网连接安全。TLS（传输层安全）是更为安全的升级版SSL。由于SSL这一术语更为常用，因此仍然将安全证书称作SSL。当您从DigiCert购买SSL时，您真正购买的是最新的TLS证书，证书有 ECC、RSA 或 DSA 三种加密方式可以选择。如果某个网站受SSL证书保护，其相应的URL中会显示HTTPS（超文本传输安全协议）。单击浏览器地址栏的挂锁图标，可查看证书详细信息，包括颁发机构和网站所有者的公司名称等。下图是访问google和baidu，查看网站签发的证书的相关信息。

 在进行加密时分为对称加密和非对称加密，对称加密指加密和解密都使用同一个密钥，非对称加密指加密和解密使用不同的密钥，对于非对称加密，密钥分为公钥和私钥。一个用于加密密钥，一个用于解密密钥。公钥都是公开的，如何保证公钥不被篡改呢？这里就牵涉到证书签发机构，证书签发机构用自己的私钥对申请者的公钥进行加密，生成数字证书。当其他人想知道这个公钥是否被篡改，那么就可以用CA机构的公钥对数字证书进行解密，如果能解密成功，说明这个公钥是得到证书机构认证的，用这个公钥再去解密服务端发送过来的信息是可信的。关于证书、数字签名、加解密更详细的描述可查看这里。

证书分为三类，域名验证证书，组织验证证书，扩展验证证书，签发机构颁发证书时，会对合法性进行验证。域名证书验证最宽松，验证该域名确实是申请者的即可，扩展验证证书最严格。下面是三种不同的证书举例。

当访问某个网站时，查看操作系统，会看到证书链信息，证书链中分三层证书。如下图所示,一级根证书是DigCert Global Root CA，根证书变更频率小，例如操作系统window，Android等都会申请根证书，大部分浏览器一般会使用操作系统的证书作为根证书，但比如Firefox等可能会用自己签发的根证书。接下来是二级证书，二级证书后面是具体的域名证书。下面右图是抓包信息，当访问某个网站时都会发送二级证书和域名证书信息，因为一级证书已经内置