什么是https以及如何实施https?
HTTPS简单讲是HTTP的安全版。只是HTTPS加密信任这个环节,需要Gworg颁发SSL证书。
解释原因:
于端口区别:HTTP:80端口、HTTPS:443端口。
数据传输区别:HTTP数据明文传输、HTTPS数据加密传输。
真假网站识别:HTTP很容易被复制、HTTPS网站使用OV或EV证书必须要实名,而且要求很严格,尤其是EV证书,地址栏将直接展示名称,比如各大银行的网站。
应用传输:HTTP工作于应用层、HTTPS工作在传输层。
地址协议区别:
http://开头(浏览器情况下显示问号、不安全)
https://开头(浏览器展示安全,绿色小锁图标)
协议门槛:HTTP不需要证书、HTTPS需要Gworg机构颁发SSL证书。
关于劫持:
HTTP很容易被劫持,打开网页甚至直接跳转到另一个网站。
HTTPS加密安全,不被劫持,交易传输数据加密。
解决办法:可以让Gworg将网站升级HTTPS。
温馨提示:以下操作均为Windows Server 2012 +IIS8环境下的操作。其他环境请自行测试。
1、打开注册表:Win+R组合键打开运行,输入“regedit”。
2、找到注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslSniBindingInfo,将注册表值改为2。
3、重启IIS服务。
4、安装SSL证书。
5、将SSL证书与不同的网站进行绑定。请看截图
找到想要绑定证书的网站,点击“SSL设置”,点击“绑定”。弹出如下窗口。
点击“编辑”,选择“https”,输入IP地址,绑定的域名,钩住下面的勾,选择对应的证书,点击确定即可。这一步很关键,主要是将SSL证书与域名进行绑定。用户通过域名访问的时候就会返回对应的证书了,所以一个服务器就可以实现不同的网站绑定不同的证书,这样多个网站就可以同时通过https进行访问了。
有两种方案来解决这个问题:
1使用支持多个域名的SSL证书(多域名证书或通配符证书)
wosign多域名SSL证书能够在一张证书中最多支持绑定100个域名。当需要为同一台物理服务器上的多个不同域名的主机配置SSL证书时,可通配置一张共享的多域名证书来实现IP地址和端口的共享。只需将所有虚拟站点的域名绑定到这张多域名证书中即可。
2开启SNI支持
SNI 是“Server Name
Indication”的缩写,全称“主机名称指示”。开启SNI,可以允许一个443端口共享给多个虚拟站点,并且每一个虚拟站点都允许独立配置其唯一的证书密钥对。其优点是每个站点独享唯一密钥对,更安全。缺点是SNI受客户端及服务端程序版本限制,部分客户端及服务端程序无法支持。
TLS主机名指示扩展(SNI,RFC6066)允许浏览器和服务器进行SSL握手时,将请求的主机名传递给服务器,因此服务器可以得知需要使用哪一个证书来服务这个连接。但SNI只得到有限的浏览器和服务器支持。
更多相关SSL证书部署配置问题建议咨询SSL厂商wosign ca
不同的服务器实现全站https的方法是不同的,这里以IIS60环境为例
全站通过https访问前,请先确认网站各页面能正常通过https访问,若网站中不安全元素没有解决(即网站中仍存在外部的、js、css等链接),则强制全站https访问后会造成部分页面显示异常。
具体实现办法:
打开IIS管理器,找到需要配置SSL证书的站点,右键属性。
选择“目录安全性”,在“安全通信”区域点击“编辑”。
勾选“要求安全通道(SSl)”,确定完成。
修改IIS403文件。路径:C:\WINDOWS\Help\iisHelp\common\403-4htm
以管理员身份登录到 Web 服务器计算机。
2 单击开始,指向设置,然后单击控制面板。
3 双击管理工具,然后双击 Internet 服务管理器。
4 从左窗格中的不同服务站点的列表中选择 Web 站点。
5 右键单击希望为其配置 SSL 通信的 Web 站点、文件夹或文件,然后单击属性。
6 单击目录安全性选项卡。
7 单击编辑。
8 如果希望 Web 站点、文件夹或文件要求 SSL 通信,请单击需要安全通道 (SSL)。
9 单击需要 128 位加密以配置 128 位(而不是 40 位)加密支持。
10 要允许用户不必提供证书就可以连接,请单击忽略客户证书。
或者,如果要让用户提供证书,请使用接受客户证书。
11 要配置客户端映射,请单击启用客户证书映射,然后单击编辑将客户证书映射到用户。
如果配置了此功能,可以将客户证书分别映射到 Active Directory 中的每个用户。可以使用此功能以根据用户访问 Web 站点时提供的证书自动识别用户。可以将用户一对一映射到证书(一个证书标识一个用户),或者将许多证书映射到一个用户(根据特定的规则,对照证书列表来匹配特定的用户。第一个有效的匹配项成为映射。)
12 单击确定。
回答不容易,希望能帮到您,满意请帮忙采纳一下,谢谢 !
0条评论