根据签发机构类型，TLS证书签发可以划分为两种：

• 公信CA（Certificate Authority）签发的证书（如DigiCert、Let’s Encrypt、Sectigo等）
• 企业内部私有CA签发的证书。

公信CA签发与企业内部私有CA签发，两者的区别是公信力不同。一般情况下，互联网环境不应信任企业内部私有CA签发的证书。

下面主要详细说明最常见的公信CA签发域名验证（DV）、组织验证（OV）、扩展验证（EV）证书的过程，以及全网最流行的免费证书Let’s Encrypt为例的自动化流程。

公信CA签发证书的通用流程（DV/OV/EV）

1. 生成CSR（Certificate Signing Request，证书签名请求）

   • 在你的服务器上首先生成一对密钥：私钥（private key）和公钥（public key）。
   • 使用私钥生成CSR文件，CSR里包含了：
     • 域名（Common Name 或 SAN 列表）
     • 组织信息（OV/EV证书需要）
     • 公钥
     • 国家、省份、城市、公司名称等（OV/EV需要）
   • 常用命令（OpenSSL）：

     openssl req -new -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr

2. 选择CA并提交申请

   • 登录CA官网（或通过ACME协议自动化），选择证书类型（DV/OV/EV）、有效期。
   • 上传CSR（或者有些CA让你直接在网页填写信息后帮你生成）。

3. 域名控制权验证（DCV，Domain Control Validation）
   这是所有公信证书都必须完成的步骤，证明你确实控制这个域名。常见三种方式：

   • HTTP验证（最常见）：CA给你一段随机token，你需要在域名下 .well-known/acme-challenge/ 路径放一个特定文件
     示例：http://yourdomain.com/.well-known/acme-challenge/xxxxxx
   • DNS验证：CA给你一段TXT记录，你需要在域名DNS管理面板添加 _acme-challenge.yourdomain.com TXT "xxxxxx"
   • Email验证（较少用）：给域名whois邮箱或管理员邮箱（如admin@、webmaster@）发邮件，点链接确认

   DV证书只做这一步；OV/EV还要额外验证组织合法性。

4. （OV/EV专属）组织信息验证

   • 核实公司工商注册信息（通过第三方数据库如Dun & Bradstreet）
   • 核实营业执照、法人身份
   • 电话回访确认申请人身份和授权
   • 验证域名管理权归属公司（whois + 额外证明文件）

5. CA签发证书

   • CA用自己的中间证书或根证书的私钥，对你的公钥+域名+有效期等信息进行签名，生成证书文件（.crt 或 .pem）
   • 同时会下发CA链证书（中间证书 bundle,参考下面附录）

6. 下载并安装证书

   • 你把证书、公钥、私钥安装到Web服务器（Nginx/Apache/IIS等）
   • 重启服务，以使证书生效

最常见的自动化签发：Let’s Encrypt（ACME协议）

Let’s Encrypt是目前全球使用量最大的免费CA，90天有效期，完全自动化。

常用客户端：Certbot、acme.sh、win-acme、lego 等。以acme.sh为例的全自动流程：

# 1. 安装acme.sh
curl https://get.acme.sh | sh

# 2. 切换到Let’s Encrypt（默认就是）
acme.sh --set-default-ca --server letsencrypt

# 3. 签发证书（两种主流验证方式任选其一）

# 方法A：HTTP验证（需要80端口开放）
acme.sh --issue -d example.com -d www.example.com --webroot /var/www/html

# 方法B：DNS验证（推荐，停机也可续期）
acme.sh --issue -d example.com --dns dns_cf   # 以Cloudflare为例，会自动调用API添加TXT记录

# 4. 安装证书到Nginx/Apache
acme.sh --install-cert -d example.com \
--key-file /etc/nginx/ssl/example.key \
--fullchain-file /etc/nginx/ssl/example.cer \
--reloadcmd "nginx -s reload"

整个过程几秒到几十秒完成，无需人工干预，每60天自动续期。

证书签发后链路示意

用户浏览器 ←HTTPS→ 你的服务器（证书+私钥）
           ↑
        验证链：
你的证书 → CA中间证书 → 根证书（已预装在操作系统/浏览器中）

总结对比表

附录：CA链证书

简单来说：CA链证书就是“中间证书”，它是连接你的网站证书和浏览器信任的根证书之间的“桥梁”。如果没有正确安装链证书，用户访问你的HTTPS网站时就会报错（最常见的是“NET::ERR_CERT_AUTHORITY_INVALID”或“证书不受信任”）。

为什么需要链证书？（信任链原理）

为什么公信CA（包括Let’s Encrypt、DigiCert、GlobalSign等）坚决不直接用根证书私钥（Root Private Key）去签发终端用户证书？原因非常明确，一共就这几条，但每一条都是致命的：

所以现代公信CA为了安全，绝不直接用根证书私钥去签发终端用户证书，而是采用分层结构：

根证书（Root CA）
    └── 中间证书1（Intermediate CA）   ← CA用根私钥签发
            └── 中间证书2（Intermediate CA）   ← 用中间1签发
                    └── 你的网站证书（Leaf Certificate） ← 用中间2签发

• 根证书：预装在操作系统和浏览器里（DigiCert、GlobalSign、Let’s Encrypt的根叫ISRG Root X1等），数量很少，私钥离线保存在保险柜里，几乎永不使用。
• 中间证书：CA用根私钥签发的证书，中间证书的私钥才真正用来签发你的网站证书。
• 你的网站证书（叶子证书）：只包含你的域名和公钥。

浏览器验证证书时会沿着这条链一层层往上验证，直到找到自己信任的根证书为止。

实际拿到的证书文件通常有这几种

1. 你的网站证书（也叫leaf证书、end-entity证书）
   文件名通常是：yourdomain.crt、yourdomain.pem、certificate.crt

2. 链证书 / 中间证书（最重要的就是这个）
   可能有1~3个中间证书串在一起，常见文件名：

   • chain.crt、ca-bundle.crt、intermediate.crt、fullchain.pem

3. 根证书（一般不需要你提供）
   浏览器自己有，不需要放在服务器上。

如何撤销中间证书

中间证书（Intermediate CA）一旦被发现有安全问题、被滥用、私钥泄露、CA违规等，必须立即撤销。

谁有权力、谁来执行撤销？

实际撤销的技术方式（都必须同时做）

1. CRL（Certificate Revocation List，证书吊销列表）

   • 根CA或上一级中间CA用自己的私钥签名一个列表，里面列出被撤销的证书序列号
   • 文件通常放在 http://crl.exampleca.com/xxx.crl
   • 缺点：体积大，浏览器很少真正下载检查（基本被淘汰）

2. OCSP（Online Certificate Status Protocol，在线证书状态协议）

   • 实时查询：浏览器问 OCSP Responder：“序列号为12345的证书还好吗？”
   • 回应：Good / Revoked / Unknown
   • 现在是主流，所有正规CA都必须提供OCSP服务

3. OCSP Must-Staple（强制 stapling）

   • 证书签发时就加上一个扩展，要求服务器必须在TLS握手中附带OCSP响应
   • Let’s Encrypt、DigiCert 等主流CA默认都开启
   • 一旦中间证书被撤销，所有使用该中间证书签发的网站都会立刻变红锁（几小时内）

前向安全（Forward Secrecy，简称 PFS）是 TLS（以及其他加密协议）中一个非常重要的安全属性，简单来说：
“即使攻击者将来拿到了服务器的长期私钥（即证书私钥），也无法解密之前已经完成的所有 TLS 会话”
这就是前向安全的核心意义：过去的通信记录永远是安全的，即使私钥彻底泄露。

前向安全在TLS 1.3中强制开启的，安全性由椭圆曲线离散对数问题（ECDLP）保障

ECDH（椭圆曲线 Diffie-Hellman）最核心的数学原理

一句话就能说清楚：“乘法可以随便做，除法几乎做不出来”

我们用最常用、最直观的曲线 X25519 / Curve25519 来解释（TLS 1.3 里 90% 以上用的就是它）。

1. 公共参数（全世界都一样）

• 选定一个安全的椭圆曲线：y² = x³ + 486662x² + x（模 2²⁵⁵-19）
• 选定一个基点（base point）G，一个固定的点，坐标是已知的：
  G = (9, 447…)（具体数字不重要，只要大家用同一个就行）

2. 双方各自生成临时私钥（就是随机数）

• 爱丽丝（Alice，客户端）随机选一个 256 bit 的整数作为私钥：
  a = 随机数（比如 3f1a…c2，绝对保密！）
• 鲍勃（Bob，服务器）也随机选一个 256 bit 的整数：
  b = 随机数（比如 7d2b…e9，绝对保密！）

3. 计算并公开“公钥”（其实就是把私钥乘以基点 G）

• 爱丽丝算出自己的临时公钥：
  A = a × G
• 鲍勃算出自己的临时公钥：
  B = b × G

这一步叫标量乘法（scalar multiplication），很快就能算。

4. 双方互换公钥（在网络上明文发送，没关系！）

爱丽丝把 A 发给鲍勃
鲍勃把 B 发给爱丽丝

5. 双方各自再做一次标量乘法，得到共享秘密 Z

• 爱丽丝算：Z = a × B
• 鲍勃算： Z = b × A

奇迹发生了：
a × B = a × (b × G) = (a × b) × G
b × A = b × (a × G) = (b × a) × G

因为乘法交换律，a×b = b×a，所以两个 Z 完全相等！

这就是共享秘密 Z（32 字节），网络上从来没有传输过 Z，攻击者只看到 A 和 B。

6. 为什么攻击者算不出 Z？（数学陷阱）

攻击者看到：

• G（公开）
• A = a × G（公开）
• B = b × G（公开）

他想求 Z = a × b × G
→ 必须先从 A 求出 a，或者从 B 求出 b
→ 这就是椭圆曲线离散对数问题（ECDLP）

目前人类最好的算法要花大约 2¹²⁸ 次运算才能破解 X25519（相当于 300 亿亿亿年），完全不可能。

这就是“乘法容易，除法几乎做不出来”的本质。

超级简化的数字比喻（虽然现实不是素数乘法，但帮助理解）

把椭圆曲线上的“点加”想象成普通乘法：

• G = 5（基点）
• 爱丽丝私钥 a = 7
• 鲍勃私钥 b = 13

爱丽丝发：A = 5⁷ = 78125
鲍勃发：B = 5¹³ = 1220703125

爱丽丝算：78125¹³ = 4038967834731580443708050254247865495926816947758197784423828125
鲍勃算：1220703125⁷ = 4038967834731580443708050254247865495926816947758197784423828125

攻击者看到 78125 和 1220703125，想求出 7 或 13 ，也不容易。
椭圆曲线只是把“指数”换成了“点加”，但数学难度被做得更高。

总结：ECDH 全过程一句话

1. 大家约定一个起点 G
2. 各自用自己的私钥（随机数）把 G “乘”很多次得到公钥，公开交换
3. 再把对方的公钥乘上自己的私钥，得到同一个共享秘密 Z
4. 因为离散对数难题，谁也反推不出对方的私钥 → Z 永远安全

这就是 TLS 1.3 里每一次握手都能实现完美前向安全的数学根基。