最近在看haproxy，但其中涉及关于ssl的知识，之前也配置过https，也使用openssl，也生成过.pem证书。等没有理清他们之间的关系，本人将做系统的介绍。

在阅读本文前，强烈建议先阅读：[转] 数字证书原理 https 完整过程解析

一、SSL 和 TLS

SSL：（Secure Socket Layer，安全套接字层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。该协议由两层组成：SSL记录协议和SSL握手协议。

TLS：(Transport Layer Security，传输层安全协议)，用于两个应用程序之间提供保密性和数据完整性。该协议由两层组成：TLS记录协议和TLS握手协议。

SSL是Netscape开发的专门用户保护Web通讯的，目前版本为3.0。最新版本的TLS 1.0是IETF(工程任务组)制定的一种新的协议，它建立在SSL 3.0协议规范之上，是SSL 3.0的后续版本。两者差别极小，可以理解为SSL 3.1，它是写入了RFC的。

ssl 和 tls的详细介绍参考：

• SSL与TLS的区别以及介绍
• [转]SSL协议详解

Tips 1：综上两篇文章的介绍：HTTPS是运行在SSL/TLS之上的HTTP协议，SSL/TLS运行在TCP之上。所有传输的内容都经过加密，加密采用对称加密，但对称加密的密钥用服务器方的证书进行了非对称加密。

二、PKI

PKI 就是 Public Key Infrastructure 的缩写，翻译过来就是公开密钥基础设施。它是利用公开密钥技术所构建的，解决网络安全问题的，普遍适用的一种基础设施;是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。

PKI既不是一个协议，也不是一个软件，它是一个标准，在这个标准之下发展出的为了实现安全基础服务目的的技术统称为PKI。可以说CA(认证中心)是PKI的核心，而数字证书是PKI的最基本元素，还有如apache等服务器、浏览器等客户端、银行等应用，都是pki的组件。

PKI 包括 CA （证书机构）， RA （登记机构），资料库，客户接口等。 CA 是签发证书的场所， RA 是登记的场所，资料库是管理证书的地方，客户接口是提供服务的标准接口。PKI 应该是由多个可以互操作的 CA 、 RA 、资料库和众多接口组成的大的系统。

Tips 1：参考文章：PKI/CA 技术的介绍 ，更有助于理解PKI和CA

三、CA

为保证用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性

CA 机构，又称为证书认证中心 (Certificate Authority) 中心，是一个负责发放和管理数字证书的第三方权威机构，它负责管理PKI结构下的所有用户(包括各种应用程序)的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份。CA机构的数字签名使得攻击者不能伪造和篡改证书。

认证中心主要有以下5个功能：

1. 证书的颁发：接收、验证用户(包括下级认证中心和最终用户)的数字证书的申请。可以受理或拒绝
2. 证书的更新：认证中心可以定期更新所有用户的证书，或者根据用户的请求来更新用户的证书
3. 证书的查询：查询当前用户证书申请处理过程；查询用户证书的颁发信息，这类查询由目录服务器ldap来完成
4. 证书的作废：由于用户私钥泄密等原因，需要向认证中心提出证书作废的请求；证书已经过了有效期，认证中心自动将该证书作废。认证中心通过维护证书作废列表 (Certificate Revocation List,CRL) 来完成上述功能。
5. 证书的归档：证书具有一定的有效期，证书过了有效期之后就将作废，但是我们不能将作废的证书简单地丢弃，因为有时我们可能需要验证以前的某个交易过程中产生的数字签名，这时我们就需要查询作废的证书。

Tips 1：参考文章：PKI/CA 技术的介绍 ，更有助于理解PKI和CA

 四、数字证书、数字签名、SSL证书、SET证书、CA证书、根证书

数字证书是一段数字，该数字说明了一个身份，是由 CA 通过数字签名获得的。而SSL证书，也称为服务器SSL证书，是遵守SSL协议的一种数字证书，由全球信任的证书颁发机构(CA)验证服务器身份后颁发。将SSL证书安装在网站服务器上，可实现网站身份验证和数据加密传输双重功能。而CA 证书，顾名思义，就是CA颁发的证书。

Tips 1：综上所述，数字证书是个大的概念，任何数字签名后的证书，都可以叫数字证书。CA证书是由CA机构颁发的证书的统称。SSL证书和SET证书都属于CA证书。

Tips 2：用户要向CA机构验证，证书的有效性，如果仅是一个机构，肯定是不够。其实整个认证体系，是分阶层的，层级关系好比一个倒叉树，有一个根节点。那么这个节点产生的证书，就是根证书。

可参考该文章：http://www.cnblogs.com/littlehann/p/3738141.html

 五、openssl

众多的密码算法、公钥基础设施标准以及SSL协议，或许这些有趣的功能会让你产生实现所有这些算法和标准的想法。果真如此，在对你表示敬佩的同时，还是忍不住提醒你：这是一个令人望而生畏的过程。这个工作不再是简单的读懂几本密码学专著和协议文档那么简单，而是要理解所有这些算法、标准和协议文档的每一个细节，并用你可能很熟悉的C语言字符一个一个去实现这些定义和过程。我们不知道你将需要多少时间来完成这项有趣而可怕的工作，但肯定不是一年两年的问题。

首先，应该感谢Eric A. Young和Tim J. Hudson，他们自1995年开始编写后来具有巨大影响的OpenSSL软件包，更令我们高兴的是，这是一个没有太多限制的开放源代码的软件包，这使得我们可以利用这个软件包做很多事情。Eric A. Young 和Tim J. Hudson是加拿大人，后来由于写OpenSSL功成名就之后就到大公司里赚大钱去了。1998年，OpenSSL项目组接管了OpenSSL的开发工作，并推出了OpenSSL的0.9.1版，到目前为止，OpenSSL的算法已经非常完善，对SSL2.0、SSL3.0以及TLS1.0都支持。

OpenSSL采用C语言作为开发语言，这使得OpenSSL具有优秀的跨平台性能，这对于广大技术人员来说是一件非常美妙的事情，可以在不同的平台使用同样熟悉的东西。OpenSSL支持Linux、Windows、BSD、Mac、VMS等平台，这使得OpenSSL具有广泛的适用性。不过，对于目前新成长起来的C++程序员，可能对于C语言的代码不是很习惯，但习惯C语言总比使用C++重新写一个跟OpenSSL相同功能的软件包轻松不少。

OpenSSL整个软件包大概可以分成三个主要的功能部分：密码算法库、SSL协议库以及应用程序。OpenSSL的目录结构自然也是围绕这三个功能部分进行规划的。

作为一个基于密码学的安全开发包，OpenSSL提供的功能相当强大和全面，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，并提供了丰富的应用程序供测试或其它目的使用。

如果需要了解openssl的使用，可以参考文章：OpenSSL 的使用详解