越来越多的企业或者个人开始认识到网络安全性的重要性,https网络传输过程的优势也越来越突显:提升网站的安全等级,获取客户端对网站的信任度。SSL证书越来越被大众所推崇。对于刚接触的新用户来说,可能还不清楚为什么需要申请ssl证书?怎么申请购买证书?
1. 为什么需要申请SSL证书呢?
HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议, 在目前的技术背景下,HTTPS是现行架构下最安全的。防止网站被篡改,非法跳转,防止网站被灌入广告,防止数据在传输过程中不被窃取、改变,确保数据的完整性等。从SEO的角度出发,无论是Google还是百度都展示出了对HTTPS的青睐,百度官方表示https的网站更有安全性,在排序上会有倾斜,收录速度更快。所以申请ssl证书是必要的。
2.怎么申请SSL证书呢?或者 https证书呢。
SSL证书基本上都是国外品牌,如:geotrust 赛门铁克 comodo等,国内服务商只是作为代理。步骤三步走:
1) CSR文件制作:申请SSL证书之前,需要制作CSR文件,CSR,是制作SSL 证书的必要步骤。一个 CSR 文件中描述了 SSL 证书持有人的信息(如个人姓名或公司名称)、联系地址等,用于验证 SSL 证书和域名是同一个人持有,以确保网站的合法性。制作完成后向 SSL 证书提供商上传这个文件,以获得最终的 SSL 证书。
注意事项
在申请服务器证书时,不要出现某些特殊字符如:(@,#,&,!,等等,例如:您可以将"&"用"and"代替)。否则在您提交CSR后,会出现"105"的错误代码。
2)CA认证证书申请:将制作好的CSR提交给CA,CA一般有2种认证方式:
1)域名认证:一般通过对管理员邮箱认证的方式,这种方式认证速度快,但是签发的证书中没有企业的名称;
2)企业文档认证:需要提供企业的营业执照。
也有需要同时认证以上2种方式的证书,例如EV ssl证书,这种证书可以使浏览器的绿色地址栏上直接显示企业信息,所以认证也最严格。
3)证书安装:
在收到CA的证书后,就可以将证书部署到服务器上了。
Apache 部署 SSL 证书
a. 查看apache是否开启ssl
打开 apache安装目录/conf/httpd.conf 文件,找到 里面两行
#LoadModule ssl_module modules/mod_ssl.so
将行首的#去掉,保存文件
执行命令: apache安装目录/bin/httpd -M | grep ssl_module , 出现图下结果说明apache已经支持ssl, 否则请先开启apache的ssl模块
b. 配置证书到对应的站点
编辑站点对应的站点配置文件,如:apache安装目录/conf/extra/httpd-ssl.conf, 修改内容如下
DocumentRoot "/var/www/html"
ServerName www.domain.com
SSLEngine on
SSLCertificateFile 证书文件路径/_www.domain.com.cer
SSLCertificateKeyFile 证书文件路径/_www.domain.com.key
SSLCertificateChainFile 证书文件路径/_www.domain.com_ca.crt
c. 重启apache生效
TOMCAT部署SSL证书
a.需要将CA签发的证书CER文件导入www.domain.com.jks文件后放到conf目录下,复制上服务器,然后配置同目录下的server.xml文件
port="443"
protocol="HTTP/1.1"
SSLEnabled="true"
maxThreads="150"
scheme="https"
secure="true"
keystoreFile="conf\www.domain.com.jks"
keystorePass="changeit"
clientAuth="false" sslProtocol="TLS"
/>
说明
clientAuth如果设为true,表示Tomcat要求所有的SSL客户出示安全证书,对SSL客户进行身份验证
keystoreFile指定keystore文件的存放位置,可以指定绝对路径,也可以指定相对于 (Tomcat安装目录)环境变量的相对路径。如果此项没有设定,默认情况下,Tomcat将从当前操作系统用户的用户目录下读取名为 “.keystore”的文件。
keystorePass密钥库密码,指定keystore的密码。(如果申请证书时有填写私钥密码,密钥库密码即私钥密码)
sslProtocol指定套接字(Socket)使用的加密/解密协议,默认值为TLS
b. http自动跳转https的安全配置
到conf目录下的web.xml。在后面,,也就是倒数第二段里,加上这样一段
SSL /* CONFIDENTIAL
这步目的是让非ssl的connector跳转到ssl的connector去。所以还需要前往server.xml进行配置:
redirectPort改成ssl的connector的端口443,重启后便会生效。
IIS 部署 SSL 证书
IIS最为简单,只需要处理挂起的请求,将CER文件导入,然后网站绑定即可。
如果在申请或者部署证书环节,您有任何问题,可以去ssl证书频道(https://www.bisend.cn/ssl-certificate)通过专家团队寻求帮助与支持。
