SSL（全称 Secure Sockets Layer 安全套接层)，由Netscape Communication公司设计开发，利用数据加密(Encryption)技术，保障在Internet上数据传输的安全。

SSL继任者TLS（全称 Transport Layer Security 安全传输层协议），由TLS记录协议（TLS Record）和 TLS 握手协议（TLS Handshake）组成，用于在两个通信应用程序之间提供保密性和数据完整性。TLS 记录协议用于封装各种高层协议；TLS握手协议处理对等用户的认证，在这一层使用了公共密钥和证书，并协商算法和加密实际数据传输的密钥，该过程在TLS记录协议之上进行。

HTTPS（全称 Hyper Text Transfer Protocol over Secure Socket Layer 安全超文本传输协议），它是由Netscape开发，内置于浏览器中，用于对数据进行安全传输。HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。

SSL证书是一种数字证书，用于激活SSL/TLS协议，实现数据信息在客户端和服务器之间的加密传输，保持数据的完整性，防止数据信息的泄露，用户还可以通过服务器证书验证所访问的网站是否真实可靠。

SSL证书的等级分类和适用范围：
DV SSL（全称 Domain Validation SSL），class 1 级，只验证网站域名所有权的简易型SSL证书，特征是地址栏旁边显示一个安全锁标志。此类证书仅能起到网站机密信息加密的作用，无法向用户证明网站的真实身份，仅适合于个人网站或非电子商务网站。

IV SSL（全称 Individuals Validation SSL），Class 2 级，需要验证网站经营者（个人）的真实身份的专业级SSL证书，特征是地址栏旁边显示一个安全锁标志。不仅能起到网站机密信息加密的作用，而且能向用户证明网站的真实身份。

OV SSL（全称 Organization Validation SSL），Class 3 级，需要验证网站所有单位的真实身份的标准型SSL证书，特征是地址栏旁边显示一个安全锁标志。此类证书为正常的SSL证书，不仅能起到网站机密信息加密的作用，而且能向用户证明网站的真实身份。因为电子商务需要的是在线信任和在线安全，推荐所有电子商务网站使用。

EV SSL（全称 Extended Validation SSL），Class 4 级，遵循全球统一的严格身份验证标准颁发的SSL证书，是目前业界最高安全级别的SSL证书，特征是浏览器地址栏不仅显示安全锁标志，而且地址栏整个变为绿色。推荐所有电子商务网站都部署EV SSL证书。

StartSSL Class 1 级免费SSL证书的申请应用：

注册账号：
https://www.startssl.com 点击 “Sign-up”，填写相关的表单注册。
注：填写详细的地址，需要精确到门牌号/房间号。

获取客户端登陆证书：
注册审核通过后，根据邮件中的指示生成并安装用来登陆的客户端证书，此客户端证书为登陆账号的唯一凭证，根据需要可在浏览器的证书管理中导出备份。登陆证书安装好后，可以点击 “Authenticate” 凭证书登录进行后续的操作。

验证域名所有权：
1. 登陆控制面板，选择 “Validations Wizard” 标签；
2. 选择 “Domain Name” 并点击 “Continue”；
3. 输入域名并选择域名扩展名然后点击 “Continue”；
4. 选择用来认证域名所有权的管理邮箱并点击 “Continue”；
5. 输入域名管理邮箱接收到的验证码并点击 “Finish”。

生成SSL证书：
1. 登陆控制面板，选择 “Certificates Wizard” 标签；
2. 选择 “SSL/TLS Server Certificate” 并点击 “Continue”；
3. 输入至少10个字符的密码并点击 “Continue”；
4. 保存私钥并点击 “Continue”；
5. 在下拉菜单中选择域名并点击 “Continue”；
6. 加子域名并点击 “Continue”；
7. 保存证书并点击 “Finish”。

获取SSL证书：
1. 登陆控制面板，选择 “Tool Box” 标签；
2. 点击 “Decrypt Private Key”；
3. 输入私钥内容和私钥密码；
4. 保存解密后的私钥。

SSL证书续期
登陆SSL证书续期：
1. 登陆控制面板，选择 “Validations Wizard” 标签；
2. 选择 “Email Address Validation” 并点击 “Continue”；
3. 输入要验证的邮箱，然后点击 “Continue”；
4. 输入邮箱接收到的验证码并点击 “Finish”。
5. 选择 “Certificates Wizard” 标签；
6. 选择 “Certificate Target: S/MIME and Authentication Certificate”，点击 “Continue”；
7. Generate Private Key；
8. 选择邮箱；
9. Your S/MIME client certificate is installed in your browser；
10.在 Tool Box 中 Retrieve Certificate，选择新申请的邮箱, 点击 “Continue”。

域名SSL证书续期
按顺序重新进行上述的验证域名所有权，生成SSL证书，获取SSL证书各个步骤。

安装SSL证书：
I. Nginx：
如果没有在控制面板的 “Tool Box” 解密私钥，则在SSH使用下述命令解密：

openssl rsa -in ssl.key -out /etc/nginx/conf/ssl.key

设置私钥的权限：

chmod 600 /etc/nginx/conf/ssl.key

下载 Root CA 和 Class 1 Intermediate Server CA certificates:

wget http://www.startssl.com/certs/ca.pem wget http://www.startssl.com/certs/sub.class1.server.ca.pem 

合并相关证书：

cat ssl.crt sub.class1.server.ca.pem ca.pem > /etc/nginx/conf/ssl-unified.crt

添加配置：

ssl on; ssl_certificate /etc/nginx/conf/ssl-unified.crt; ssl_certificate_key /etc/nginx/conf/ssl.key; 

II. Apache
1. 下载 Root CA 和 Class 1 Intermediate Server CA certificates:

wget http://www.startssl.com/certs/ca.pem wget http://www.startssl.com/certs/sub.class1.server.ca.pem 

2. http.conf 加载 mod_ssl 模块并监听 443 端口：

LoadModule ssl_module modules/mod_ssl.so Listen 443 

3. 默认的虚拟机配置示例（根据需要更改相关参数）：

 DocumentRoot /home/httpd/private ErrorLog /usr/local/apache/logs/error_log TransferLog /usr/local/apache/logs/access_log SSLEngine on SSLProtocol all -SSLv2 SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM SSLCertificateFile /usr/local/apache/conf/ssl.crt SSLCertificateKeyFile /usr/local/apache/conf/ssl.key SSLCertificateChainFile /usr/local/apache/conf/sub.class1.server.ca.pem SSLCACertificateFile /usr/local/apache/conf//ca.pem CustomLog /usr/local/apache/logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" 

相关资源
免费 CLASS 1 SSL证书申请地址：
https://www.startssl.com
https://www.wosign.com