SSL和X.509证书有什么区别？

Question

我使用openssl创建了X.509证书，但我不太理解X.509和SSL证书之间的关系。是一样的吗？SSL证书只是用于SSL的X.509证书吗？

Answer 1

SSL是目前使用最多的X.509证书，许多人可以互换使用这些术语。但是，它们并不相同；"SSL证书“是具有扩展密钥用法的X.509证书:服务器身份验证(1.3.6.1.5.5.7.3.1)。

其他“常见”类型的X.509证书包括客户端身份验证(1.3.6.1.5.5.7.3.2)、代码签名(1.3.6.1.5.5.7.3.3)，以及其他一些用于各种加密和身份验证方案的证书。

Answer 2

X.509证书是一种通用的、高度灵活的格式。SSL (现在称为"TLS")使用X.509证书。"SSL证书“是一种证书，其内容使其可用于SSL (通常用于SSL服务器)。

特别是，在SSL的大多数用法中，客户端将希望在证书中看到预期的服务器名称。在Web上下文(HTTPS)中，“预期服务器名称”是出现在URL中的名称；客户端执行的检查用RFC 2818 (第3.1条)描述。另外，当客户端和服务器“交谈SSL”时，他们同意使用密码算法，其中一些算法暗示使用服务器的公钥，如证书中所显示的那样；例如，如果客户端和服务器选择一个密码套件，上面写着"RSA密钥交换“，那么服务器证书必须包含RSA公钥，如果证书包含限制使用该密钥的授权方式(例如Key Usage扩展)的扩展，那么这些扩展必须允许”加密“使用，因为这是SSL中的"RSA密钥交换”所隐含的。

证书的其他特性可能禁止使用SSL服务器，其中“禁止”意味着“客户端将尖叫和结巴，并向用户显示红色的可怕警告”。例如，证书可能包含一个Extended Key Usage扩展，该扩展列出了使用它的实体的“角色”的详尽列表；如果存在扩展，那么它应该包含“服务器身份验证”或特殊的“任何使用”指示符。

有很多细节需要关心。商业CA将整个过程概括为“SSL证书”，真正的意思是“一个X.509证书，它是为SSL服务的，所有的客户都会对此感到满意”。