国际SSL证书是如何生成签发的？很多人看到这个问题会说，只要OpenSSL等工具一个命令行就能搞定。这个回答既正确也不正确，正确的是的确是一个命令行就能搞定，不正确的是这种SSL证书没有使用价值。本文所要讲的SSL证书是指公共信任的SSL证书，是被浏览器信任的SSL证书。

一个命令行搞定的SSL证书为自签证书，不被浏览器不信任，会有安全警告。自签SSL证书会有各种各样的安全问题，比如密钥太短、使用不安全的哈希算法等等，更重要的是需要有一个信任机制和第三方监督机制来保证这张SSL证书的技术参数没有问题、身份信息正确、完成了域名控制权验证、接受公众监督等。

SSL证书这个密码产品是实现https加密的中间产品，其价值主要体现在是否被浏览器信任，浏览器是否能正常显示加密锁标识。这是一个围绕SSL证书实现https加密的生态系统，包括了CA机构、浏览器、CA/浏览器论坛、WebTrust审计机构、证书透明日志系统、日志监视和审计方、网站主（SSL证书用户）和网站、网站访问者等多个生态参与者。

CA/浏览器论坛（CA/BrowserForum）制定了两个标准—SSL证书基线标准和EV SSL证书签发规范。CA/浏览器论坛是由全球知名的CA机构和主要浏览器厂商联合成立的一个没有注册的标准工作组，负责制定CA相关的国际标准规范，CA必须按照这些规范来签发SSL证书。

如果CA不按照这些规矩来签发SSL证书，可由另一个机构-WebTrust负责审计CA机构是否按规矩来签发证书。WebTrust审计是由加拿大特许专业会计师协会（CPACanada）主导联合美国注册会计师协会（AICPA）根据CA/浏览器论坛制定的CA标准制定的一个审计标准，并认定一些知名的会计师事务所有资格从事CA审计业务。CA机构每年会聘请这些事务所对CA机构进行技术和管理的审计，审计合格后由会计事务所出具一份审计报告给CA，CA可以在其官网展示WebTrust审计标识。CA机构的根证书要想浏览器信任，前提是必须提供WebTrust审计报告，这是前提条件，有了这个报告浏览器才会受理CA机构的根证书信任预置申请。

也就是说，CA机构如果要想签发SSL证书，必须向浏览器申请根证书信任预置，必须先通过WebTrust审计，浏览器才受理预置申请，浏览器受理后还需要接受公众的公开网上讨论和各种技术检查，只有通过至少1年的漫长的各种审查，浏览器才会预置CA根证书信任，并通过发布新的浏览器版本来更新新的CA根证书。由于主流的浏览器厂家有四家，各家都有自己的一套根证书预置信任申请流程，CA必须分别向这4家浏览器申请根预置信任，只有这4大浏览器都信任了CA的根证书，CA机构才有资格签发公共信任的SSL证书。CA机构要想能签发全球信任的SSL证书需要“过五关”（1个审计关，4个浏览器关）。

CA机构可以签发所有浏览器信任的SSL证书后，用户就可以向CA机构申请SSL证书，CA在收到用户提交的证书请求文件（CSR）和身份证明材料并完成身份鉴证后，就可以为用户签发SSL证书，但这时候还有最后一道工序是必须把预签证书提交谷歌浏览器指定的证书透明日志系统中，180天以内的证书必须提交两个证书透明日志服务器，180天以上证书必须提交三个日志服务器。只有提交了透明备案并拿到备案证明（SCT签名数据）并把SCT数据写入到SSL证书的SCT列表字段，才能把SSL证书正式交付给用户。如果证书透明监视方和审计方发现这张SSL证书有问题—属于错误签发，则CA机构会马上吊销这张SSL证书，重新为用户签发一张新的SSL证书。

用户拿到SSL证书后部署到网站上使用，网站访问者就可以使用浏览器实现https加密访问了，浏览器地址栏会显示加密锁标识，到了这一步才算是SSL证书完成交付使用。

但CA机构的责任还没有完，每次浏览器使用SSL证书实现https加密时会访问CA机构提供的证书吊销列表服务，查验这张SSL证书是否被吊销，CA机构必须在证书有效期内为用户提供吊销列表查询服务（CRL）和证书签发者证书（AIA）下载服务。同时，在证书有效期内用户可能由于各种原因需要申请证书吊销和证书重新签发，这也是CA必须为用户提供的服务。