证书颁发机构CA干啥用，啥时候要用这个

Posted 2023-04-12

CA的全称是Certificate Authority，翻译成中文是数字证书颁发机构，是为网站和其他实体颁发数字证书的受信任组织，SSL证书就是由CA机构颁发的。
CA机构的作用是什么？每次您使用HTTPS访问网站或在URL栏中看到小挂锁时，即表示您使用的是经过CA验证的网站。任何想要显示安全挂锁并启用HTTPS的网站都需要从CA获得SSL证书。在颁发证书之前，CA将验证证书申请者的信息，例如站点所有权，名称，位置等。CA必须遵守严格的行业标准，以确保每个CA都遵循相似的验证要求。 参考技术A SSL证书颁发机构又称CA机构，是一个受信任的数字证书颁发机构。CA机构的全称为Certificate Authority证书认证中心。只有通过WebTrust国际安全审计认证，根证书才能预装到主流浏览器，成为全球可信的SSL证书颁发机构。SSL证书颁发机构必须遵从行业规则的约束，需要入根到各大浏览器、操作系统以及移动设备程序中，这样才能发布透明、受信任的SSL证书。 参考技术B

选择信任度较高并且威望较高的SSL证书品牌，安全认证体系、数字加密协议。

目前全球可信100%浏览器的CA机构：

GlobalSign（唯一拥有CRL中国提供商）

DigiCert（收购赛门铁克所有子品牌，体量最大，但发售大量次中间证书）

Sectigo（目前已降低到90%，廉价及多种类产品，前身属于Comodo）

Entrust（价格较高，但信任度一直名列前茅）

Certum（属于主流SSL证书CA机构） 

建议您在Gworg注册SSL证书。

Gworg注册SSL好处：支持中文沟通与淘宝平台，拥有相同产品保障及完美的价格。

参考技术C 证书是由证书颁发机构CA签发的，证书颁发机构CA有一整套完整的管理、技术等机制，确保所发证书标识信息的真实有效。
证书颁发机构CA相当于现实生活中的公安局，证书颁发机构CA发数字证书，公安局发居民身份证。
在网络中需要证明交互各方的身份时，可用到数字证书，如在网上银行应用中，在登录网银系统时需要有效确认用户身份，可用证书。证书相对传统的用户名+口令更加安全。 参考技术D 1、一般的客户端机子不需要申请CA证书。一般证书代表的是服务器、个人、企业。证书一般在usbkey中。
2、企业一般与银行连接，如转账、支付等，或报税时，需要申请CA证书，这是银行或税务要求的。有的企业有强认证的要求，也会用到证书。
3、CA颁证的机构全球有NNNN多家。光中国就有N家。IE中有一些全球商业的CA（可如此查看：在IE的 工具 －＞ internet选项 －＞ 内容 －＞ 证书 －＞ 受信任的根证书颁发机构）
4、CA作为一个第三方的信任源，每个国家对CA的机构有不同的法规要求。中国的需要符合《电子认证服务密码管理办法》等规定。当然有很多企业自己建CA，如某些银行和大企业等。

CA机构介绍(Certificate Authority 域名SSL证书颁发机构)

SSL证书机构即CA机构的全称为Certificate Authority证书认证中心，只有通过WebTrust国际安全审计认证，根证书才能预装到主流浏览器，成为全球可信的ssl证书颁发机构。

HTTPS （全称：Hyper Text Transfer Protocol over SecureSocket Layer），是以安全为目标的 HTTP 通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性 。HTTPS 在HTTP 的基础下加入SSL 层，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层（在 HTTP与 TCP 之间）。这个系统提供了身份验证与加密通讯方法。

目前全球主流的CA机构有Comodo、Symantec、GeoTrust、DigiCert、Thawte、GlobalSign、RapidSSL等，其中Symantec、GeoTrust都是DigiCert机构的子公司，目前市场上主流的ssl证书品牌是Comodo证书、Symantec证书、GeoTrust证书、Thawte证书和RapidSSL证书，还有一些不知名的证书机构也是可以颁发数字证书的。

DigiCert

DigiCert 旗下拥有 DigiCert，Symantec，Geotrust，Thawte，Rapid 5大SSL证书品牌。DigiCert SSL证书分为 OV 和 EV 两种验证级别，同时支持多域名和通配符功能，也是全球极少能支持 IP 直接申请证书的CA之一。

Symantec

赛门铁克（Symantec）SSL证书前身为 Verisign，后于2017年12月被DigiCert收购，现在已经使用 DigiCert 根证书。Symantec Secure Site SSL证书依然是各行业尤其是金融银行证券等大型企业认可的品牌。Symantec Secure Site SSL证书 支持诺顿安全签章，是网站拥有很好的可信度。
提供证书类型：OV SSL证书、EV SSL证书、单域名SSL证书、多域名SSL证书、通配符证书。

GeoTrust

GeoTrust 是全球很受欢迎的一款高性价比证书，服务的客户遍及全球。目前已经使用 DigiCert 根证书，安全性和稳定性均有可靠的保障。

GeoTrust从2001年成立到2006年占领全球市场25%的市场份额，在全球150多个国家有超过10万个用户在使用 GeoTrust SSL证书。支持中文域名和显示中文名称，深受国内用户喜爱，目前GeoTrust SSL证书市场占有率已超过30%，而且每年的增长率高达150% 。

Geotrust 提供 DV,OV,EV三种验证等级的SSL证书，在功能上，支持单域名，多域名，通配符以及多域名通配符功能。

Entrust

Entrust 是一个加拿大CA品牌，历史悠久，鉴证严谨规范，几乎从未出过任何故障，在SSL证书的签发上，拥有很好的人性化管理机制。支持OV和EV两种验证级别的SSL证书，功能上有单域名版，双域名版，通配符，以及多域名通配符。产品细分详细，值得推荐。

Comodo/Sectigo

Comodo SSL证书已经改名为 Sectigo，但其优秀的性价比和签发速度并未受到任何影响。Comodo/Sectigo 是广大个人站点和小微企业的首选，因为价格真的是便宜到位了。
Comodo拥有超过20年的数字证书行业经验，证书发行量全球第一，迄今为止已经发出超过1亿份证书，为所有网站和移动应用提供各个类型的数字证书安全解决方案。

RapidSSL

RapidSSL（CA机构）证书是GeoTrust证书品牌中的入门级便宜SSL证书品牌，目前属于Digicert的子品牌，其根证书为Digicert，只有两款DV SSL证书产品，相对Digicert其他子品牌的DV SSL证书，价格便宜很多，非常适合小型网站和个人用户申请安装。

CFCA

中国金融认证中心（China Financial Certification Authority，简称CFCA）是经中国人民银行和国家信息安全管理机构批准成立的国家级权威安全机构。中国金融认证中心全球信任证书（Global Trust Certificate）是发放给全球范围的数字证书， 通过微软根证书项目认证、 Mozilla根证书认证， 谷歌（安卓）根证书认证和苹果根证书认证， 其根证书已经预埋在微软系统、设备，Mozilla相关产品，谷歌（安卓操作系统）相关产品以及苹果相关产品中。

TrustAsia

亚洲诚信是国内一家专业的SSL证书品牌，由国际知名CA颁发机构 DigiCert 提供基础设施支撑，支持行业内加密的的标准。还拥有亚洲诚信（TrustAsia®）自主知识产权的SSL证书、SSL证书管理平台（MPKI™）、 SSL证书在线检测评估服务（MySSL）、SSL证书云监控系统（MySSL企业版）以及先进的加密无处不在、HTTPS全站加密、 密钥保护等网络安全综合解决方案等一系列网络信息安全管理解决方案。

以上证书机构都是需要收费的，可以通过部分云厂商获取免费单域证书。

 
Let‘s Encrypt

Let‘s Encrypt是一种证书颁发机构,通过自动化过程为传输层安全(TLS)加密提供免费的X.509证书,旨在消除迄今为止手动创建,验证,签名,安装和更新安全网站证书的复杂过程.该机构由电子前哨基金会、谋智基金会、思科及美国内容分发网络提供商Akamai 等基金会和科技公司赞助。

通过开源的程序部署到服务器中，可快速的获取到所需要的证书。你也可以通过 来此加密 网站在线申请，无需部署申请环境。

 

CA颁发机构根据申请ssl证书类型可分为域名验证型DV证书、组织验证型OV证书、扩展增强型EV证书，认证机构在检验过程中，申请人提交的CSR文件必须符合CA的要求，否则申请人需要重新提交文件。