補齊證書鏈

『壹』 老師你好，在ssl證書中，cer是公鑰證書，key是私鑰證書，crt是證書鏈對嗎

一、SSL證書文件

如圖所示，就是一些SSL證書文件。上圖帶有root CA 字樣的證書文件就是根證書， 然後帶intermediate ca 字樣的就是中間證書文件， 最後一個 ssl servercertificate 字樣的證書即為證書文件。

了解認識SSL證書文件，才能更好的去安裝SSL證書。雖然大部分時候直接安裝證書文件，瀏覽器也會顯示安全，但是由於一些瀏覽器會自動補齊證書鏈，但是證書鏈缺失的話，一些手機端或者部分瀏覽器可能會報不安全的提醒，所以在安裝的時候建議安裝完整的證書文件，補齊證書鏈。

二、SSL證書格式

在SSL證書源文件中你會發現有很多格式。不同的web伺服器對於證書的格式是有要求的，接下來也帶大家了解下不同格式的證書文件。

PEM：- Privacy Enhanced Mail,打開看文本格式,以」—–BEGIN…」開頭, 「—–END…」結尾,內容是BASE64編碼.上述一般證書文件 ，中間證書和根證書，證書文件很多都是pem格式的。Apache和NIgnix伺服器偏向於使用這種編碼格式.

DER：這種格式也是常見的證書格式，跟pem類似，中間證書和根證書，證書文件很多都是DER的，Java和Windows伺服器偏向於使用這種編碼格式。

JKS ：jks是Java密鑰庫(KeyStore)比較常見的一種格式。一般可用通過cer 或者pem 格式的證書以及私鑰的進行轉化為jks格式，有密碼保護。所以它是帶有私鑰的證書文件，一般用戶tomcat環境的安裝

PFX：pfx格式的證書 也是由cer 或者pem格式的證書文件以及私鑰轉化而來，所以該證書文件也是帶有私鑰的證書文件，一般用於iis 環境的證書安裝。

『貳』 好幾年前買中國黃金買的鑽石項鏈,證書發票都掉了,怎麼換

證書丟失就等同於放棄了免費換款的權利，不能換。
有一類特殊情況下，你的首飾給你預估一個價，再兌換，補齊差價，明白嗎？

『叄』 如何查詢教師資格證書號碼

您好，教師資格證書上會有標明證書編號，如果證書遺失破損，您可以查看您人事檔案中的《教師資格認定申請表》，表上有證書號碼。如果您的人事檔案中沒有《教師資格認定申請表》或表上沒有證書號碼，務請聯系原教師資格認定機構補齊。

或者登錄中國教師資格網（網頁鏈接）找到右側，認定人網報查詢入口，點擊進入並登錄本人信息，在個人中心，可以查詢到17位的教師資格證書編號。希望有幫助到您~

『肆』 應急管理局證書遺失怎麼補辦

新版證書不需要補辦。

2019年，應急管理廳對特種作業操作證樣式進行更新，並啟用了新版證書式樣和電子證書。

電子證書具有與實體證書同等法律效力。

PVC卡實體證書將由各級考核發證部門統一樣式自行製作，根據取證人需要核發。

也就是說，持證人的有效身份證明將包括PVC卡實體證書、電子證書和紙質列印證書。

『伍』 全國教師信息管理系統未報送,無報送按鈕怎麼辦

重慶市2020年中小學教師資格認定網報時間為：6月10日 9:00--6 月 24 日 17：00，從今天起大家就可以在網上進行申請認定了！雖然資格認定工作的通知大家都已經看了，重慶教資認定時間已定！6月10日開始申報！但是小夥伴們對於如何認定還是有很多問題。
小編今天就手把手來教大家全國教師資格證認定網上報名操作詳細流程，希望能給大家提供幫助！
一、登錄官網
申請人登錄中國教師資格網(http://www.jszg.e.cn)，將看到中國教師資格網首頁如下圖:
申請人進入申報系統的入口為：「教師資格認定申請人網報入口」
點擊進入申報系統登錄界面：
二、申請人賬號注冊
申請人在首次登錄本申報系統須注冊賬號，點擊登錄頁面中「注冊」按鈕，將出現實名注冊界面：
操作步驟流程：
請先點擊頁面下方《中國教師資格網注冊協議》按鈕，仔細閱讀「中國教師資格網用戶賬號注冊協議」，並點擊「我同意遵守協議」按鈕，後點擊「關閉」按鈕，關閉本頁面。
賬號注冊，請選擇符合自己身份的證件類型(持有身份證的中國公民，證件類型須選擇「身份證」)，准確填寫所選擇證件類型對應的證件號碼及姓名。
請設置登錄密碼，密碼設置要求為8位以上數字、字母和特殊符號組合(特殊字元請從「#、%、*、-、_ 、!、@、$、&」中選取)，並再次輸入登錄密碼以確認。
請設置個人電子郵箱，用於找回密碼。
請輸入11位手機號碼，用於找回密碼及身份驗證。
請拖動滑塊補全拼圖，右側出現「√」即為拼圖成功。請點擊「免費獲取驗證碼」按鈕，獲取簡訊驗證碼，並填寫在信息框中。請在「我已閱讀並同意《中國教師資格網注冊協議》」中的選框中勾選，點擊下方的「提交」按鈕，完成賬號注冊。賬號注冊完成，請點擊「返回」登錄頁面。
三、申請人登錄申報系統
在登錄頁面，申請人正確填寫自己注冊的賬號(證件號碼)和密碼，拖動滑塊補全拼圖，點擊「登錄」按鈕完成登錄。
登錄成功，對於注冊後首次登陸的或個人信息沒有完善的用戶，首先請完善個人身份信息，填寫民族信息，對於以證件類型為：港澳台居民居住證、港澳居民來往內地通行證、五年內有效期台灣居民來往大陸通行證注冊的用戶，還需要填寫性別、出生日期、民族及分別填寫港澳居民身份證號碼和在台灣居住的有效身份證號碼，檢查無誤後，點擊「提交」按鈕，提交信息。
個人信息中心界面，在此界面中包含以下模塊：個人身份信息、教師資格考試信息、普通話證書信息、學歷學籍信息、學位證書信息。
(a)個人身份信息
此模塊下您按照頁面提示，可以修改個人身份信息、修改密碼、修改手機號碼等
(b)教師資格考試信息
參加國家教師資格考試且成績合格的申請人，此處將呈現您的考試合格證明上的相關信息，系統自動同步，無需自己填寫。
(c)普通話證書信息
在此模塊下點擊「新增」按鈕，出現證書新增對話框，請按照右側的操作步驟進行操作
…………
(d)學歷學籍信息
學籍信息在認定報名過程中填寫。
學歷信息：在此模塊下點擊「新增」按鈕，按照右側的操作步驟進行證書核驗，在「核驗學歷」類型下，輸入證書編號，點擊「核驗」按鈕，系統將在全國高等學校學生信息咨詢與就業指導中心(學信網)信息管理系統中獲取對應學歷證書的相關信息。如果核驗不到信息，請檢查當前核驗的用戶信息是否與學歷證書信息中的"姓名、證件號碼、證書編號"是否一致;如果檢查無誤後，仍然核驗不到的證書信息，請選擇「無法核驗的學歷」類型，補全相關信息並上傳對應的電子版證書(中師、幼師及其他中專學歷，請選擇「無法核驗的學歷」類型)。所持有的學歷為港澳台地區學歷或者國外留學學歷，請選擇相應類型進行操作，補充完善學歷證書信息，並上傳教育部留學服務中心的學歷認證報告電子版。
…………
(e)學位證書信息
根據您學位證書上的真實信息，補齊本頁面上所空缺的信息。
如果是應屆畢業生申請，學位名稱請選擇「無學位」，學位證書編號對應為「無」。

完善個人信息後，點擊頂部導航欄中「業務平台」按鈕，您將看到頁面中「業務平台」界面，如下：
四、教師資格認定
在業務平台頁面下，選擇教師資格認定業務模塊，首先點擊「須知」按鈕，仔細閱讀教師資格認定申請人必讀中的內容。
在此頁面下 請下載《個人承諾書》並按照個人承諾書中的說明進行操作，待報名時使用。
閱讀完畢後，請在右上角點擊「返回業務平台」按鈕，返回業務平台，選擇教師資格認定業務模塊下，點擊「報名」按鈕，請仔細閱讀教師資格認定網上申報協議，閱讀完畢，請勾選下方「已閱讀並完全同意本協議」的勾選框，
點擊「下一步」進入填寫身份信息頁面，
如以「國家統一考試」形式參與認定，請選擇本人名下考試合格證明信息(以報名時間為准，合格證在有效期內的方能選擇使用);
如以非國家統一考試(含免考)參與認定，則不用選擇。
然後選擇本人名下的普通話證書信息參與本次認定，選擇普通話免測的，需符合普通話免測政策，具體普通話免測政策請以省級教育行政部門規定為准。
如果是非應屆畢業生，請在「是否應屆畢業生」處，選擇否，並勾選相應的學歷和學籍信息。
如果是應屆畢業生，請在「是否應屆畢業生」
處，選擇」是「，請點擊「同步學籍」按鈕，獲取在校學籍信息。
如未同步到信息，請點擊「補充數據」按鈕進行補充學籍信息，填寫本人學籍信息，點擊「保存」按鈕，上傳信息。
如果添加信息有誤，請點擊「修改」按鈕進行修改，後提交即可，如您不需要保留本條信息，請到「個人信息中心」，「學歷學籍」模塊下，選擇「學籍信息」後，點擊「刪除」按鈕刪除。點擊「下一步」按鈕，填寫選擇認定機構信息，根據本人實際情況選擇認定所在地信息、認定機構信息及確認點信息，點擊「下一步」按鈕，看到填寫認定信息。
在填寫認定信息頁面下，根據實際情況填寫本人的認定信息，並上傳個人近期本人1寸免冠正面證件照(照片大小小於200k，圖片為jpg格式，須與教師資格證書上粘貼的照片為同一底版)，如需修改請點擊圖片，重新選擇。
請點擊《個人承諾書》鏈接，下載《個人承諾書》並完成其要求操作後，點擊 「點擊上傳」，上傳完整圖片(圖片大小小於200K,格式為jpg格式);利用「選擇框」將個人承諾書圖片中虛線框中的內容完整選擇後，點擊「上傳」按鈕;
如需修改請點擊圖片，重新選擇。
根據個人實際情況填寫個人簡歷信息。
填寫完成後點擊「下一步」按鈕，看到確認信息頁面，請仔細核對信息，如有錯誤，請及時在本頁面更改，如確認無誤，點擊「下一步」按鈕，看到提交信息頁面。
在提交信息頁面，您將看到申報提醒，請仔細閱讀，並牢記現場確認的時間，確認點信息等，請自己閱讀個人承諾，並在頁面下方勾選是否同意，如選擇的不同意，點擊「提交」按鈕，您將放棄本次報名，返回業務平台;申請認定報名成功!請您務必在系統「業務平台」頁面「教師資格認定信息」記錄中點擊「注意事項」按鈕，查看相關內容，在認定狀態處查看認定進度，且在規定時間內攜帶認定通知或公告要求提交的材料進行現場確認。申請認定報名成功!請您務必在系統「業務平台」頁面「教師資格認定信息」記錄中點擊「注意事項」按鈕，查看相關內容，在認定狀態處查看認定進度，且在規定時間內攜帶認定通知或公告要求提交的材料進行現場確認。
警示
一、中國教師資格網（www.jszg.e.cn）是教師資格認定唯一官網，中國教師資格網沒有其他網站與網址。
二、中國教師資格網是我國教師資格證書信息查詢的官方平台。自2008年起我國公民依法獲得的教師資格證書可在中國教師資格網進行驗證。教師資格證書信息不存在「國網不可查、省網可查」現象。
三、如發現教師資格證書制假販假行為或疑似仿冒教育行政部門官方網站、提供假冒教師資格證書真偽查詢的，請第一時間撥打010-58800171進行核實或撥打110進行舉報。
中國教師資格網特此提醒用人單位提高警惕，以防上當受騙。同時，也再次鄭重告誡教師資格申請人，作為未來的人民教師，應誠實守信，依法申請認定教師資格，對購買和使用虛假教師資格證書行為說「不」！對弄虛作假騙取教師資格和使用假教師資格證書的，一經查實，將被收繳證書，依法撤銷教師資格，五年內不得申請認定教師資格，同時，記入全國教師管理信息系統

『陸』 2020濟寧公務員考試容缺機制是什麼

濟寧市今年公務員報考正在進行中，今年我看著與往年不一樣了啊，放寬了許多，學歷是大專以上學歷，年齡上也放寬到了三十五

『柒』 2019年上半年教師資格證面試成績昨天有在中國教師資格網查到合格證書編號的，河北省的有多少查到的呢

2019年上半年教師資格證面試成績昨天沒有在中國教師資格網上查到合格證書編號的，河北省也沒有查到的。按照《河北省關於2019年上半年中小學教師資格考試（面試）有關事項的公告》，2019年6月11日報名網站上才公布面試成績。另外，2019年上半年面試報名的網站是中國教育考試網，也叫」中小學教師資格考試「網，而不是中國教師資格網。

『捌』 https建立連接的的過程是怎麼樣的

您好，根據您所提出的問題，我整理出以下資料
HTTPS基本原理
一、http為什麼不安全？
http協議沒有任何的加密以及身份驗證的機制，非常容易遭遇竊聽、劫持、篡改，因此會造成個人隱私泄露，惡意的流量劫持等嚴重的安全問題。

國外很多網站都支持了全站https，國內方面目前網路已經在年初完成了搜索的全站https，其他大型的網站也在跟進中，網路最先完成全站https的最大原因就是網路作為國內最大的流量入口，劫持也必然是首當其沖的，造成的有形的和無形的損失也就越大。關於流量劫持問題，我在另一篇文章中也有提到，基本上是互聯網企業的共同難題，https也是目前公認的比較好的解決方法。但是https也會帶來很多性能以及訪問速度上的犧牲，很多互聯網公司在做大的時候都會遇到這個問題：https成本高，速度又慢，規模小的時候在涉及到登錄和交易用上就夠了，做大以後遇到信息泄露和劫持，想整體換，代價又很高。
2、https如何保證安全
要解決上面的問題，就要引入加密以及身份驗證的機制。

這時我們引入了非對稱加密的概念，我們知道非對稱加密如果是公鑰加密的數據私鑰才能解密，所以我只要把公鑰發給你，你就可以用這個公鑰來加密未來我們進行數據交換的秘鑰，發給我時，即使中間的人截取了信息，也無法解密，因為私鑰在我這里，只有我才能解密，我拿到你的信息後用私鑰解密後拿到加密數據用的對稱秘鑰，通過這個對稱密鑰來進行後續的數據加密。除此之外，非對稱加密可以很好的管理秘鑰，保證每次數據加密的對稱密鑰都是不相同的。
但是這樣似乎還不夠，如果中間人在收到我的給你公鑰後並沒有發給你，而是自己偽造了一個公鑰發給你，這是你把對稱密鑰用這個公鑰加密發回經過中間人，他可以用私鑰解密並拿到對稱密鑰，此時他在把此對稱密鑰用我的公鑰加密發回給我，這樣中間人就拿到了對稱密鑰，可以解密傳輸的數據了。為了解決此問題，我們引入了數字證書的概念。我首先生成公私鑰，將公鑰提供給相關機構（CA），CA將公鑰放入數字證書並將數字證書頒布給我，此時我就不是簡單的把公鑰給你，而是給你一個數字證書，數字證書中加入了一些數字簽名的機制，保證了數字證書一定是我給你的。

所以綜合以上三點： 非對稱加密演算法（公鑰和私鑰）交換秘鑰 + 數字證書驗證身份（驗證公鑰是否是偽造的） + 利用秘鑰對稱加密演算法加密數據 = 安全

3、https協議簡介
為什麼是協議簡介呢？因為https涉及的東西實在太多了，尤其是一些加密演算法，非常的復雜，對於這些演算法面的東西就不去深入研究了，這部分僅僅是梳理一下一些關於https最基本的原理，為後面分解https的連接建立以及https優化等內容打下理論基礎。
3.1 對稱加密演算法
對稱加密是指加密和解密使用相同密鑰的加密演算法。它要求發送方和接收方在安全通信之前，商定一個密鑰。對稱演算法的安全性依賴於密鑰，泄漏密鑰就意味著任何人都可以對他們發送或接收的消息解密，所以密鑰的保密性對通信至關重要。
對稱加密又分為兩種模式：流加密和分組加密。
流加密是將消息作為位流對待，並且使用數學函數分別作用在每一個位上，使用流加密時，每加密一次，相同的明文位會轉換成不同的密文位。流加密使用了密鑰流生成器，它生成的位流與明文位進行異或，從而生成密文。現在常用的就是RC4，不過RC4已經不再安全，微軟也建議網路盡量不要使用RC4流加密。
分組加密是將消息劃分為若干位分組，這些分組隨後會通過數學函數進行處理，每次一個分組。假設需要加密發生給對端的消息，並且使用的是64位的分組密碼，此時如果消息長度為640位，就會被劃分成10個64位的分組，每個分組都用一系列數學公式公式進行處理，最後得到10個加密文本分組。然後，將這條密文消息發送給對端。對端必須擁有相同的分組密碼，以相反的順序對10個密文分組使用前面的演算法解密，最終得到明文的消息。比較常用的分組加密演算法有DES、3DES、AES。其中DES是比較老的加密演算法，現在已經被證明不安全。而3DES是一個過渡的加密演算法，相當於在DES基礎上進行三重運算來提高安全性，但其本質上還是和DES演算法一致。而AES是DES演算法的替代演算法，是現在最安全的對稱加密演算法之一。分組加密演算法除了演算法本身外還存在很多種不同的運算方式，比如ECB、CBC、CFB、OFB、CTR等，這些不同的模式可能只針對特定功能的環境中有效，所以要了解各種不同的模式以及每種模式的用途。這個部分後面的文章中會詳細講。
對稱加密演算法的優、缺點：
優點：演算法公開、計算量小、加密速度快、加密效率高。
缺點：（1）交易雙方都使用同樣鑰匙，安全性得不到保證；
（2）每對用戶每次使用對稱加密演算法時，都需要使用其他人不知道的惟一鑰匙，這會使得發收信雙方所擁有的鑰匙數量呈幾何級數增長，密鑰管理成為用戶的負擔。
（3）能提供機密性，但是不能提供驗證和不可否認性。
3.2 非對稱加密演算法
在非對稱密鑰交換演算法出現以前，對稱加密一個很大的問題就是不知道如何安全生成和保管密鑰。非對稱密鑰交換過程主要就是為了解決這個問題，使得對稱密鑰的生成和使用更加安全。
密鑰交換演算法本身非常復雜，密鑰交換過程涉及到隨機數生成，模指數運算，空白補齊，加密，簽名等操作。
常見的密鑰交換演算法有RSA，ECDHE，DH，DHE等演算法。涉及到比較復雜的數學問題，下面就簡單介紹下最經典的RSA演算法。RSA：演算法實現簡單，誕生於1977年，歷史悠久，經過了長時間的破解測試，安全性高。缺點就是需要比較大的素數也就是質數（目前常用的是2048位）來保證安全強度，很消耗CPU運算資源。RSA是目前唯一一個既能用於密鑰交換又能用於證書簽名的演算法。我覺得RSA可以算是最經典的非對稱加密演算法了，雖然演算法本身都是數學的東西，但是作為最經典的演算法，我自己也花了點時間對演算法進行了研究，後面會詳細介紹。
非對稱加密相比對稱加密更加安全，但也存在兩個明顯缺點：
1，CPU計算資源消耗非常大。一次完全TLS握手，密鑰交換時的非對稱解密計算量占整個握手過程的90%以上。而對稱加密的計算量只相當於非對稱加密的0.1%，如果應用層數據也使用非對稱加解密，性能開銷太大，無法承受。
2，非對稱加密演算法對加密內容的長度有限制，不能超過公鑰長度。比如現在常用的公鑰長度是2048位，意味著待加密內容不能超過256個位元組。
所以公鑰加密（極端消耗CPU資源）目前只能用來作密鑰交換或者內容簽名，不適合用來做應用層傳輸內容的加解密。

3.3 身份認證
https協議中身份認證的部分是由數字證書來完成的，證書由公鑰、證書主體、數字簽名等內容組成，在客戶端發起SSL請求後，服務端會將數字證書發給客戶端，客戶端會對證書進行驗證（驗證查看這張證書是否是偽造的？也就是公鑰是否是偽造的），並獲取用於秘鑰交換的非對稱密鑰（獲取公鑰）。
數字證書有兩個作用：
1，身份授權。確保瀏覽器訪問的網站是經過CA驗證的可信任的網站。
2，分發公鑰。每個數字證書都包含了注冊者生成的公鑰（驗證確保是合法的，非偽造的公鑰）。在SSL握手時會通過certificate消息傳輸給客戶端。
申請一個受信任的數字證書通常有如下流程：
1，終端實體（可以是一個終端硬體或者網站）生成公私鑰和證書請求。
2，RA（證書注冊及審核機構）檢查實體的合法性。如果個人或者小網站，這一步不是必須的。
3，CA（證書簽發機構）簽發證書，發送給申請者。
4，證書更新到repository（負責數字證書及CRL內容存儲和分發），終端後續從repository更新證書，查詢證書狀態等。
數字證書驗證：
申請者拿到CA的證書並部署在網站伺服器端，那瀏覽器發起握手接收到證書後，如何確認這個證書就是CA簽發的呢？怎樣避免第三方偽造這個證書？答案就是數字簽名（digital signature）。數字簽名是證書的防偽標簽，目前使用最廣泛的SHA-RSA（SHA用於哈希演算法，RSA用於非對稱加密演算法）數字簽名的製作和驗證過程如下：
1，數字簽名的簽發。首先是使用哈希函數對待簽名內容進行安全哈希，生成消息摘要，然後使用CA自己的私鑰對消息摘要進行加密。
2，數字簽名的校驗。使用CA的公鑰解密簽名，然後使用相同的簽名函數對待簽名證書內容進行簽名並和服務端數字簽名里的簽名內容進行比較，如果相同就認為校驗成功。

需要注意的是：
1）數字簽名簽發和校驗使用的密鑰對是CA自己的公私密鑰，跟證書申請者提交的公鑰沒有關系。
2）數字簽名的簽發過程跟公鑰加密的過程剛好相反，即是用私鑰加密，公鑰解密。
3）現在大的CA都會有證書鏈，證書鏈的好處一是安全，保持根CA的私鑰離線使用。第二個好處是方便部署和撤銷，即如果證書出現問題，只需要撤銷相應級別的證書，根證書依然安全。
4）根CA證書都是自簽名，即用自己的公鑰和私鑰完成了簽名的製作和驗證。而證書鏈上的證書簽名都是使用上一級證書的密鑰對完成簽名和驗證的。
5）怎樣獲取根CA和多級CA的密鑰對？它們是否可信？當然可信，因為這些廠商跟瀏覽器和操作系統都有合作，它們的公鑰都默認裝到了瀏覽器或者操作系統環境里。
3.4 數據完整性驗證
數據傳輸過程中的完整性使用MAC演算法來保證。為了避免網路中傳輸的數據被非法篡改，SSL利用基於MD5或SHA的MAC演算法來保證消息的完整性。 MAC演算法是在密鑰參與下的數據摘要演算法，能將密鑰和任意長度的數據轉換為固定長度的數據。發送者在密鑰的參與下，利用MAC演算法計算出消息的MAC值，並將其加在消息之後發送給接收者。接收者利用同樣的密鑰和MAC演算法計算出消息的MAC值，並與接收到的MAC值比較。如果二者相同，則報文沒有改變；否則，報文在傳輸過程中被修改，接收者將丟棄該報文。 由於MD5在實際應用中存在沖突的可能性比較大，所以盡量別採用MD5來驗證內容一致性。SHA也不能使用SHA0和SHA1，中國山東大學的王小雲教授在2005年就宣布破解了 SHA-1完整版演算法。微軟和google都已經宣布16年及17年之後不再支持sha1簽名證書。MAC演算法涉及到很多復雜的數學問題，這里就不多講細節了。

專題二--【實際抓包分析】

抓包結果：
fiddler：

wireshark:

可以看到，網路和我們公司一樣，也採用以下策略：
（1）對於高版本瀏覽器，如果支持 https，且加解密演算法在TLS1.0 以上的，都將所有 http請求重定向到 https請求
（2）對於https請求，則不變。

【以下只解讀https請求】
1、TCP三次握手

可以看到，我們訪問的是 http://www..com/ ， 在初次建立 三次握手的時候， 用戶是去 連接 8080埠的（因為公司辦公網做了代理，因此，我們實際和代理機做的三次握手，公司代理機再幫我們去連接網路伺服器的80埠）

2、CONNECT 建立
由於公司辦公網訪問非騰訊域名，會做代理，因此，在進行https訪問的時候，我們的電腦需要和公司代理機做 " CONNECT " 連接（關於 " CONNECT " 連接， 可以理解為雖然後續的https請求都是公司代理機和網路伺服器進行公私鑰連接和對稱秘鑰通信，但是，有了 " CONNECT " 連接之後，可以認為我們也在直接和網路伺服器進行公私鑰連接和對稱秘鑰通信。 ）

fiddler抓包結果：

CONNECT之後， 後面所有的通信過程，可以看做是我們的機器和網路伺服器在直接通信

3、 client hello
整個 Secure Socket Layer只包含了： TLS1.2 Record Layer內容

（1）隨機數
在客戶端問候中，有四個位元組以Unix時間格式記錄了客戶端的協調世界時間（UTC）。協調世界時間是從1970年1月1日開始到當前時刻所經歷的秒數。在這個例子中，0x2516b84b就是協調世界時間。在他後面有28位元組的隨機數（ random_C ），在後面的過程中我們會用到這個隨機數。

（2）SID（Session ID）
如果出於某種原因，對話中斷，就需要重新握手。為了避免重新握手而造成的訪問效率低下，這時候引入了session ID的概念， session ID的思想很簡單，就是每一次對話都有一個編號（session ID）。如果對話中斷，下次重連的時候，只要客戶端給出這個編號，且伺服器有這個編號的記錄，雙方就可以重新使用已有的"對話密鑰"，而不必重新生成一把。
因為我們抓包的時候，是幾個小時內第一次訪問 https://www.bao.com 首頁，因此，這里並沒有 Session ID. （稍會兒我們會看到隔了半分鍾，第二次抓包就有這個Session ID）
session ID是目前所有瀏覽器都支持的方法，但是它的缺點在於session ID往往只保留在一台伺服器上。所以，如果客戶端的請求發到另一台伺服器，就無法恢復對話。session ticket就是為了解決這個問題而誕生的，目前只有Firefox和Chrome瀏覽器支持。

（3） 密文族（Cipher Suites）：
RFC2246中建議了很多中組合，一般寫法是"密鑰交換演算法-對稱加密演算法-哈希演算法，以「TLS_RSA_WITH_AES_256_CBC_SHA」為例：
（a） TLS為協議，RSA為密鑰交換的演算法；
（b） AES_256_CBC是對稱加密演算法（其中256是密鑰長度，CBC是分組方式）；
（c） SHA是哈希的演算法。
瀏覽器支持的加密演算法一般會比較多，而服務端會根據自身的業務情況選擇比較適合的加密組合發給客戶端。（比如綜合安全性以及速度、性能等因素）
（4） Server_name擴展：（ 一般瀏覽器也支持 SNI（Server Name Indication））
當我們去訪問一個站點時，一定是先通過DNS解析出站點對應的ip地址，通過ip地址來訪問站點，由於很多時候一個ip地址是給很多的站點公用，因此如果沒有server_name這個欄位，server是無法給與客戶端相應的數字證書的，Server_name擴展則允許伺服器對瀏覽器的請求授予相對應的證書。

還有一個很好的功能： SNI（Server Name Indication）。這個的功能比較好，為了解決一個伺服器使用多個域名和證書的SSL/TLS擴展。一句話簡述它的工作原理就是，在連接到伺服器建立SSL連接之前先發送要訪問站點的域名（Hostname），這樣伺服器根據這個域名返回一個合適的CA證書。目前，大多數操作系統和瀏覽器都已經很好地支持SNI擴展，OpenSSL 0.9.8已經內置這一功能，據說新版的nginx也支持SNI。）
4、 伺服器回復（包括 Server Hello， Certificate， Certificate Status）
伺服器在收到client hello後，會回復三個數據包,下面分別看一下：
1）Server Hello

1、我們得到了伺服器的以Unix時間格式記錄的UTC和28位元組的隨機數 （random_S）。
2、Seesion ID，服務端對於session ID一般會有三種選擇 （稍會兒我們會看到隔了半分鍾，第二次抓包就有這個Session ID） ：
1）恢復的session ID：我們之前在client hello裡面已經提到，如果client hello裡面的session ID在服務端有緩存，服務端會嘗試恢復這個session；
2）新的session ID：這里又分兩種情況，第一種是client hello裡面的session ID是空值，此時服務端會給客戶端一個新的session ID，第二種是client hello裡面的session ID此伺服器並沒有找到對應的緩存，此時也會回一個新的session ID給客戶端；
3）NULL：服務端不希望此session被恢復，因此session ID為空。
3、我們記得在client hello裡面，客戶端給出了21種加密族，而在我們所提供的21個加密族中，服務端挑選了「TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256」。
（a） TLS為協議，RSA為密鑰交換的演算法；
（b） AES_256_CBC是對稱加密演算法（其中256是密鑰長度，CBC是分組方式）；
（c） SHA是哈希的演算法。
這就意味著服務端會使用ECDHE-RSA演算法進行密鑰交換，通過AES_128_GCM對稱加密演算法來加密數據，利用SHA256哈希演算法來確保數據完整性。這是網路綜合了安全、性能、訪問速度等多方面後選取的加密組合。

2）Certificate

在前面的https原理研究中，我們知道為了安全的將公鑰發給客戶端，服務端會把公鑰放入數字證書中並發給客戶端（數字證書可以自簽發，但是一般為了保證安全會有一個專門的CA機構簽發），所以這個報文就是數字證書，4097 bytes就是證書的長度。
我們打開這個證書，可以看到證書的具體信息，這個具體信息通過抓包報文的方式不是太直觀，可以在瀏覽器上直接看。 （點擊 chrome 瀏覽器 左上方的 綠色 鎖型按鈕）

3）Server Hello Done
我們抓的包是將 Server Hello Done 和 server key exchage 合並的包：

4）客戶端驗證證書真偽性
客戶端驗證證書的合法性，如果驗證通過才會進行後續通信，否則根據錯誤情況不同做出提示和操作，合法性驗證包括如下：
證書鏈的可信性trusted certificate path，方法如前文所述；
證書是否吊銷revocation，有兩類方式離線CRL與在線OCSP，不同的客戶端行為會不同；
有效期expiry date，證書是否在有效時間范圍；
域名domain，核查證書域名是否與當前的訪問域名匹配，匹配規則後續分析；

5）秘鑰交換

這個過程非常復雜，大概總結一下：

（1）首先，其利用非對稱加密實現身份認證和密鑰協商，利用非對稱加密，協商好加解密數據的 對稱秘鑰（外加CA認證，防止中間人竊取 對稱秘鑰）
（2）然後，對稱加密演算法採用協商的密鑰對數據加密，客戶端和伺服器利用 對稱秘鑰 進行通信；
（3）最後，基於散列函數驗證信息的完整性，確保通信數據不會被中間人惡意篡改。

此時客戶端已經獲取全部的計算協商密鑰需要的信息：兩個明文隨機數random_C和random_S與自己計算產生的Pre-master（由客戶端和伺服器的 pubkey生成的一串隨機數），計算得到協商對稱密鑰;
enc_key=Fuc(random_C, random_S, Pre-Master)

6）生成 session ticket

如果出於某種原因，對話中斷，就需要重新握手。為了避免重新握手而造成的訪問效率低下，這時候引入了session ID的概念， session ID的思想很簡單，就是每一次對話都有一個編號（session ID）。如果對話中斷，下次重連的時候，只要客戶端給出這個編號，且伺服器有這個編號的記錄，雙方就可以重新使用已有的"對話密鑰"，而不必重新生成一把。
因為我們抓包的時候，是幾個小時內第一次訪問 https://www.bao.com 首頁，因此，這里並沒有 Session ID. （稍會兒我們會看到隔了半分鍾，第二次抓包就有這個Session ID）
session ID是目前所有瀏覽器都支持的方法，但是它的缺點在於session ID往往只保留在一台伺服器上。所以，如果客戶端的請求發到另一台伺服器，就無法恢復對話。session ticket就是為了解決這個問題而誕生的，目前只有Firefox和Chrome瀏覽器支持。
後續建立新的https會話，就可以利用 session ID 或者 session Tickets ， 對稱秘鑰可以再次使用，從而免去了 https 公私鑰交換、CA認證等等過程，極大地縮短 https 會話連接時間。

7） 利用對稱秘鑰傳輸數據

【半分鍾後，再次訪問網路】：
有這些大的不同：

由於伺服器和瀏覽器緩存了 Session ID 和 Session Tickets，不需要再進行 公鑰證書傳遞，CA認證，生成 對稱秘鑰等過程，直接利用半分鍾前的 對稱秘鑰 加解密數據進行會話。
1）Client Hello

2）Server Hello

『玖』 再生資源回收服務企業資質證書在哪部門辦理

摘要 你好，同學，再生資源回收服務企業須提交申請文件送經貿局審核辦理。

『拾』 有ssl證書和ssl證書鏈可以更新伺服器上apache的ssl嗎

不可以，還需要私鑰。

解釋原因：

1. SSL證書組成包括：CA根證書（證書鏈）、證書（域名證書）、私鑰（密鑰）組成。

2. CA根證書（證書鏈）、證書（域名證書），這是頒發機構給您。

3. 私鑰（密鑰），是自己提交CSR請求生成的，當然也有的也是頒發機構提供。

解決辦法：補充私鑰後然在補齊伺服器的SSL證書。