公鑰、私鑰、SSL證書的關系是什么？

• 公鑰（Public Key）：公鑰是密鑰對中的一部分。它是用于加密和驗證數據的非機密密鑰，可以公開共享給其他人。使用公鑰加密的數據只能使用與之配對的私鑰進行解密。在加密通信中，公鑰用于加密數據，以確保只有持有相應私鑰的人才能解密和訪問數據。

• 私鑰（Private Key）：私鑰是密鑰對中的另一部分，與公鑰配對。私鑰是保密的，只有密鑰的所有者可以訪問和使用。私鑰用于解密使用公鑰加密的數據，以及對數據進行簽名。私鑰應當妥善保管，不應該暴露給他人。

• SSL證書（SSL Certificate）：SSL證書是由數字證書頒發機構（CA）簽發的包含公鑰和其他相關信息的數字文件。SSL證書用于建立安全的HTTPS連接，驗證服務器的真實性，并對通信進行加密。證書中的公鑰用于加密會話密鑰，確保只有服務器的私鑰才能解密它。證書還包含有關證書所有者（例如域名所有者）和證書頒發機構的信息。

綜上，SSL證書包含了公鑰，它與私鑰配對。公鑰用于加密數據和建立安全連接，私鑰用于解密數據和進行數字簽名。通過SSL證書，服務器可以向客戶端證明其身份，并確保通信的機密性和完整性。

數字證書通常有哪些格式？

數字證書通常有以下幾種常見的格式：

• X.509證書格式：X.509是一種常見的數字證書標準，定義了證書的結構和內容。X.509證書通常使用基于ASN.1（Abstract Syntax Notation One）的DER（Distinguished Encoding Rules）編碼格式進行存儲和傳輸。這種格式的證書經常用于SSL/TLS證書、代碼簽名證書和數字身份證書等。

• PEM格式：PEM（Privacy-Enhanced Mail）是一種常見的用于存儲和傳輸X.509證書以及相關私鑰的格式。PEM格式使用Base64編碼將證書和私鑰轉換為文本文件，并使用"-----BEGIN CERTIFICATE-----"和"-----END CERTIFICATE-----"等標識符來標記證書的起始和結束。

• PKCS#12格式：PKCS#12（Public-Key Cryptography Standards #12）是一種常見的證書格式，用于存儲和傳輸X.509證書、相關私鑰和其他關聯的證書鏈和密碼信息。PKCS#12格式的文件通常具有.pfx或.p12文件擴展名，可以包含公鑰證書、私鑰以及可選的密碼保護。

• JKS格式：JKS（Java KeyStore）是Java平臺上常用的證書存儲格式。它是一種二進制格式，用于存儲X.509證書、私鑰和可選的密碼保護。JKS格式的文件通常具有.jks文件擴展名。

這些是常見的數字證書格式，用于存儲和傳輸X.509證書及其相關信息。每種格式都具有不同的特點和適用性，取決于使用的平臺、工具和應用程序。（以上格式后綴證書，天翼云均可以提供）

SSL證書中包含哪些信息？

SSL證書中包含以下重要信息（以EV證書為例）：

• 證書頒發機構（CA）信息：證書中包含頒發該證書的CA的信息，包括CA的名稱、數字簽名和公鑰等。這些信息用于驗證證書的合法性和真實性。

• 證書序列號：每個證書都有一個唯一的序列號，用于標識和跟蹤證書的唯一性。

• 證書使用者信息：證書中包含了證書所有者的信息，通常是域名所有者的信息。這些信息可能包括組織名稱、組織單位、國家/地區、州/省、城市、電子郵件地址等。

• 證書有效期：證書中包含了證書的有效期限，即證書的開始日期和結束日期。證書在有效期內才被認為是有效的。

• 支持的加密算法和密鑰長度：證書中包含加密算法和密鑰長度等信息。

SSL證書可以跨區域、跨帳號或跨平臺使用嗎？

證書簽發后會獲取一對證書公私鑰文件，只要部署環境的域名與證書域名一致，即可使用；SSL證書不限制使用地區、賬號、平臺以及部署次數。

SSL證書與域名的關系？

• 單張SSL證書能夠綁定幾個域名？

  • 單張SSL證書綁定域名數量與證書域名類型有關。

  • 單域名證書就支持1個域名。

• 單個域名能綁定幾張SSL證書？

  同一個域名支持申請多張證書，看客戶需求，沒有限制。

通配符證書支持哪些域名？

通配符證書支持一個主域名及其所有的子域名。它使用通配符字符 "*" 來表示子域名的部分，從而允許在一個證書中保護多個子域名。通配符字符 "*" 只能出現在證書的最左邊的子域名部分，例如 "*.daliqc.cn"。

以下是一些泛域名證書可以支持的示例域名：

• daliqc.cn

• blog.daliqc.cn

• shop.daliqc.cn

• mail.daliqc.cn

• api.daliqc.cn

• app.daliqc.cn

在上述示例中，泛域名證書 "*.daliqc.cn" 可以用于保護所有以 ".daliqc.cn" 結尾的子域名，包括 "blog.daliqc.cn"、"shop.daliqc.cn" 等等。然而，它不能用于保護其他頂級域名，如 "ctyun.net" 或 "ctyun.org"。

系統生成的CSR和自己生成CSR的區別？

• 系統生成的CSR，對應產生的key私鑰文件會加密存儲在云端，key不易丟失，方便下載。

• 自己生成CSR，對應產生的key私鑰文件會保存在生成CSR 的人手中，需要自行保存好key私鑰文件；若key文件丟失，則提交CSR 后簽發的證書公鑰無法找到匹配私鑰文件去部署；需要重新生成CSR申請證書。