SSL证书申请与ssl证书部署方法

越来越多的企业或者个人开始认识到网络安全性的重要性,https网络传输过程的优势也越来越突显:提升网站的安全等级,获取客户端对网站的信任度。SSL证书越来越被大众所推崇。对于刚接触的新用户来说,可能还不清楚为什么需要申请ssl证书?怎么申请购买证书?

1. 为什么需要申请SSL证书呢?

HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议, 在目前的技术背景下,HTTPS是现行架构下最安全的。防止网站被篡改,非法跳转,防止网站被灌入广告,防止数据在传输过程中不被窃取、改变,确保数据的完整性等。从SEO的角度出发,无论是Google还是百度都展示出了对HTTPS的青睐,百度官方表示https的网站更有安全性,在排序上会有倾斜,收录速度更快。所以申请ssl证书是必要的。

2.怎么申请SSL证书呢?或者 https证书呢。

SSL证书基本上都是国外品牌,如:geotrust 赛门铁克 comodo等,国内服务商只是作为代理。步骤三步走:

1) CSR文件制作:申请SSL证书之前,需要制作CSR文件,CSR,是制作SSL 证书的必要步骤。一个 CSR 文件中描述了 SSL 证书持有人的信息(如个人姓名或公司名称)、联系地址等,用于验证 SSL 证书和域名是同一个人持有,以确保网站的合法性。制作完成后向 SSL 证书提供商上传这个文件,以获得最终的 SSL 证书。

注意事项

在申请服务器证书时,不要出现某些特殊字符如:(@,#,&,!,等等,例如:您可以将"&"用"and"代替)。否则在您提交CSR后,会出现"105"的错误代码。

2)CA认证证书申请:将制作好的CSR提交给CA,CA一般有2种认证方式:

1)域名认证:一般通过对管理员邮箱认证的方式,这种方式认证速度快,但是签发的证书中没有企业的名称;

2)企业文档认证:需要提供企业的营业执照。

也有需要同时认证以上2种方式的证书,例如EV ssl证书,这种证书可以使浏览器的绿色地址栏上直接显示企业信息,所以认证也最严格。

3)证书安装:

在收到CA的证书后,就可以将证书部署到服务器上了。

Apache部署SSL证书

a. 查看apache是否开启ssl

打开 apache安装目录/conf/httpd.conf 文件,找到 里面两行

#LoadModule ssl_module modules/mod_ssl.so

将行首的#去掉,保存文件

执行命令: apache安装目录/bin/httpd -M | grep ssl_module , 出现图下结果说明apache已经支持ssl, 否则请先开启apache的ssl模块

b. 配置证书到对应的站点

编辑站点对应的站点配置文件,如:apache安装目录/conf/extra/httpd-ssl.conf, 修改内容如下

DocumentRoot "/var/www/html"

ServerName www.domain.com

SSLEngine on

SSLCertificateFile 证书文件路径/_www.domain.com.cer

SSLCertificateKeyFile 证书文件路径/_www.domain.com.key

SSLCertificateChainFile 证书文件路径/_www.domain.com_ca.crt

c. 重启apache生效

TOMCAT部署SSL证书

a.需要将CA签发的证书CER文件导入www.domain.com.jks文件后放到conf目录下,复制上服务器,然后配置同目录下的server.xml文件

port="443"

protocol="HTTP/1.1"

SSLEnabled="true"

maxThreads="150"

scheme="https"

secure="true"

keystoreFile="conf\www.domain.com.jks"

keystorePass="changeit"

clientAuth="false" sslProtocol="TLS"

说明

clientAuth如果设为true,表示Tomcat要求所有的SSL客户出示安全证书,对SSL客户进行身份验证

keystoreFile指定keystore文件的存放位置,可以指定绝对路径,也可以指定相对于 (Tomcat安装目录)环境变量的相对路径。如果此项没有设定,默认情况下,Tomcat将从当前操作系统用户的用户目录下读取名为 “.keystore”的文件。

keystorePass密钥库密码,指定keystore的密码。(如果申请证书时有填写私钥密码,密钥库密码即私钥密码)

sslProtocol指定套接字(Socket)使用的加密/解密协议,默认值为TLS

b. http自动跳转https的安全配置

到conf目录下的web.xml。在后面,,也就是倒数第二段里,加上这样一段

SSL /* CONFIDENTIAL

这步目的是让非ssl的connector跳转到ssl的connector去。所以还需要前往server.xml进行配置:

redirectPort改成ssl的connector的端口443,重启后便会生效。

IIS部署SSL证书

IIS最为简单,只需要处理挂起的请求,将CER文件导入,然后网站绑定即可。

如果在申请或者部署证书环节,您有任何问题,可以去ssl证书频道(https://www.bisend.cn/ssl-certificate)通过专家团队寻求帮助与支持。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180806A0X7I500?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券