如何给网站免费添加Https加密
免费添加https加密申请免费的SSL证书就可以了,一般不建议大家使用免费的SSL证书,因为它喝付费的SSL证书有很多差别:
1、验证类型
免费SSL证书只有域名验证性型(DV SSL证书),而付费SSL证书有域名验证型(DV SSL证书)、企业验证型(OV SSL证书)、组织验证型(EV SSL证书)。
免费SSL证书仅需要域名验证不需要对企业和组织进行验证,因此留下了很大的安全漏洞和隐患。第三者只需验证域名信息就能轻松获得证书,从而为自己披上看似可信的外衣。此时的https仍可起到加密传输的作用,但信息传输的目的却由真实网站的服务器变成了第三者的“钓鱼”服务器,信息加密也就如同虚设,第三者抓取用户敏感信息就变得轻而易举。
2、使用限制
免费SSL证书在使用时还有诸多限制,比如:免费SSL证书只能绑定单个域名、不支持通配符域名、多域名等。此时相关服务也会大打折扣,大多数免费的SSL证书都由用户自行安装,无法提供后期服务和技术支持,在遇到SSL证书安装问题时,也无法得到解决。
而提供付费SSL证书的商家,一般会提供申请购买到安装的一系列访问,后续出现问题,还找提供商寻求解决。
3、使用时间
免费SSL证书有效期过短,每三个月或者一个月就要更新一次,到期后还要自己申请,很多用户很容易就会忘记续期。
而付费SSL证书的使用年限一般是1年,不用时时刻刻担心证书过期的问题。而且证书服务商会有一个到期提醒,更不用担心。
4、选择多样性
目前提供免费SSL证书的Lets Encrypt、Comodo等,而付费SSL证书选择性就大得多,Comodo、GeoTrust、Symantec、RapidSSL等知名CA机构。
总的来说,免费的SSL证书,适用于个人博客,作为一个临时的解决方案。企业或流量较高的个人网站还是选择付费的SSL证书比较好。
申请流程如下:
第一步,生成并提交CSR(证书签署请求)文件
CSR文件一般都可以通过在线生成(或服务器上生成),申请人在制作的同时系统会产生两个密钥,公钥CSR和密钥KEY。选择了SSL证书申请之后,提交订单并将制作生成的CSR文件一起提交到证书所在的CA颁发机构。
第二步,CA机构进行验证
CA机构对提交的SSL证书申请有两种验证方式:
第一种是域名认证。系统自动会发送验证邮件到域名的管理员邮箱(这个邮箱是通过WHOIS信息查询到的域名联系人邮箱)。管理员在收到邮件之后,确认无误后点击我确认完成邮件验证。所有型号的SSL证书都必须进行域名认证。
第二种是企业相关信息认证。对于SSL证书申请的是OV SSL证书或者EV SSL证书的企业来说,除了域名认证,还得进行人工核实企业相关资料和信息,确保企业的真实性。
第三步,CA机构颁发证书
由于SSL证书申请的型号不同,所验证的材料和方式有些区别,所以颁发时间也是不同的。
如果申请的是DV SSL证书最快5分钟左右就能颁发。如果申请的是OV SSL证书或者EV SSL证书,一般3-5个工作日就能颁发。
完成以上SSL证书申请步骤收到CA的证书之后,然后将SSL证书正确的部署到服务上,网站就可以开启HTTPS加密了。
可以登陆JoySSL官方购买安装证书对网站加以防护 。
本文环境为Ubuntu LTS 1604,已经安装配置好了Nginx,http可以访问。目标是为该网站启用HTTPS,增强站点安全性。
目前获取安全证书的方案有三:
本文中将采取第三种方式。
Let's Encrypt证书机构颁发的免费证书对任何人都是开放的,所以在获取证书的过程中会验证证书申请人是否对网站有控制权,例如,能否在WWW主机上执行获取证书程序。
另外,网站应保持启动,域名有效,80端口可被外界访问。
具体访问步骤如下:
本文忽略了安装前提软件的执行过程,同时因为系统中有多个站点,所以还是希望能够获取到证书后自行配置启用HTTPS。以下主要是命令 sudo certbot --nginx certonly 的日志记录。过程中需要回答一些问题。
根据日志可以看到,证书为/etc/letsencrypt/live/mytestchinanorthcloudappchinacloudapicn/fullchainpem,
key文件为/etc/letsencrypt/live/mytestchinanorthcloudappchinacloudapicn/privkeypem,证书过期日期为 2018-11-04 。自动续订的命令为 certbot renew
查看Linux系统还可发现,只有root可以操作/etc/letsencrypt/live目录。
编辑Nginx的配置文件,将证书信息更新到配置之中。
重新访问站点,如下图所示,表明HTTPS启用成功。
用户默认访问HTTP站点,为了让用户访问HTTP时自动跳转到HTTPS,需要编辑Nginx的配置文件,如下:
重新启动Nginx验证
使用certbot可以极大程度简化证书的获取过程,而自动化续订更是极大的方便了系统运维人员,并确保站点始终安全运行。
据调查,29%的TLS应用都使用了有效期为90天的证书,所以Let's Encrypt的证书有效期只有90天。有效期为90天和1年对数据加密并无影响,但较短的有效期能够降低证书被盗用的风险,并且有助于推动证书续订自动化。
通过查看证书的详细信息,可以发现免费签发的证书是只验证域名所有权,而不验证所有者和机构的。所以这类证书也叫做DV(Domain Validated)证书。校验所有者的证书叫做OV(Owner Validated)证书。此外,金融类等机构要求超级安全的证书,要求更加严格的身份验证标准,也叫EV(Extend Validated)证书。
网站启用https是大势所趋,如Chrome将拥有自己专有的SSL根证书书库、Mozilla在新发布的Firefox 83稳定版更新中加入了HTTPS-Only模式、国家出台了《个人信息保护法》等这些例子无一不告诉我们网站实行https加密势在必行!网站实现https加密可以减少流量被劫持和被篡改的几率。除了能保障网站信息的安全,还能有助于SEO优化,谷歌早就将https作为排名考虑的因素之一,百度也对https页面优先收录、优先排名。https证书如何申请呢?
购买SSL证书
个人网站和小微企业可以申请DV SSL证书,从申请到签发,30分钟就能完成;
政府机构、企业、事业单位等组织可申请 OV SSL证书,它不仅能实现基本的 https 加密,还能验证企业的真实性,提高网站的信任等级;
电商、银行、支付机构等涉及到金融方面的组织可以申请EV SSL证书,它除了能满足 DV、OV型 SSL证书的功用,在浏览器上还有一个绿色地址栏,让访客在访问网站时能够更加有信心。
这三种证书均可在沃通CA官网wwwwosigncom上申请,除此之外沃通CA还有各种多域名SSL证书和各种通配符SSL证书,能够满足客户的多样化需求。
部署SSL证书
若您是在沃通CA购买的SSL证书,我们专业的技术人员会远程帮您把SSL证书部署到您的服务器上,并会给您提供一系列的技术支持,帮您实现SSL与您服务器之间的完美融合。
代码改动
成功安装SSL证书后,网页的https版本就能够访问了。但有时候浏览器还是会提示连接不安全、此页面的部分内容(例如图像)不安全等等警告内容,这个因为当前的域名虽然部署了SSL证书,但是部署了SSL证书的网站引用了一些没有部署SSL证书的网站的资源,例如,下载,CSS样式等等。这个时候,我们需要重新获取这些资源的https链接即可。
想要将HTTP站点转换成HTTPS,必须申请并安装SSL证书才能实现。SSL证书申请流程如下:
第一步:将CSR提交到代理商
CSR(Certificate Signing Request)文件必须由用户自己生成,也可以利用在线CSR生成工具。选择要申请的产品,提交一个新的订单,并将制作好的CSR文件提交。
第二步 资料提交到CA
当收到您的订单和CSR后,如果是域名验证型证书(DV SSL证书),在域名验证之后10分钟左右就可颁发证书,若是其他类型证书则是需要通过CA机构进行验证之后才可颁发。
第三步 发送验证邮件到管理员邮箱
权威CA机构获得资料后,将发送一封确认信到管理员邮箱,信中将包含一个 对应的链接过去。每一个订单,都有一个唯一的PIN以做验证用。
第四步 邮件验证
点击确认信中的链接,可以访问到CA机构验证网站,在验证网站,可以看到该订单的申请资料,然后点击”I Approve”完成邮件验证。
第五步 颁发证书
在用户完成邮件验证之后,CA机构会将证书通过邮件方式发送到申请人自己的邮箱,当用户收到证书后直接安装就可以了。若安装存在问题,安信SSL证书是提供免费证书安装服务的。
TLS 12要求服务器配置文档:https://wwwgworgcom/ssl/277html。
一台能保证24小时不断电的电脑,一根固定IP地址的光纤,一个域名,安装Windows 2003系统就可以架设服务器了。
下面我们来通过Windows Server 2003提供的POP3服务和SMTP服务架设小型服务器来满足我们的需要。
一、安装POP3和SMTP服务组件
Windows Server 2003默认情况下是没有安装POP3和SMTP服务组件的,因此我们要手工添加。
1安装POP3服务组件
以系统管理员身份登录Windows Server 2003 系统。依次进入“控制面板→添加或删除程序→添加/删除Windows组件”,在弹出的“Windows组件向导”对话框中选中“电子服务”选项,点击“详细信息”按钮,可以看到该选项包括两部分内容:POP3服务和POP3服务Web管理。为方便用户远程Web方式管理服务器,建议选中“POP3服务Web管理”。
2安装SMTP服务组件
选中“应用程序服务器”选项,点击“详细信息”按钮,接着在“Internet信息服务(IIS)”选项中查看详细信息,选中“SMTP Service”选项,最后点击“确定”按钮。此外,如果用户需要对服务器进行远程Web管理,一定要选中“万维网服务”中的“远程管理(HTML)”组件。完成以上设置后,点击“下一步”按钮,系统就开始安装配置POP3和SMTP服务了。
二、配置POP3服务器
1创建域
点击“开始→管理工具→POP3服务”,弹出POP3服务控制台窗口。选中左栏中的POP3服务后,点击右栏中的“新域”,弹出“添加域”对话框,接着在“域名”栏中输入服务器的域名,也就是地址“@”后面的部分,如“xxx”,最后点击“确定”按钮。其中“xxx”为在Internet上注册的域名,并且该域名在DNS服务器中设置了MX交换记录,解析到Windows Server 2003服务器IP地址上。
2创建用户邮箱
选中刚才新建的“xxx”域,在右栏中点击“添加邮箱”,弹出添加邮箱对话框,在“邮箱名”栏中输入用户名,然后设置用户密码,最后点击“确定”按钮,完成邮箱的创建。
三、配置SMTP服务器
完成POP3服务器的配置后,就可开始配置SMTP服务器了。点击“开始→程序→管理工具→Internet信息服务(IIS)管理器”,在“IIS管理器”窗口中右键点击“默认SMTP虚拟服务器”选项,在弹出的菜单中选中“属性”,进入“默认SMTP虚拟服务器”窗口,切换到“常规”标签页,在“IP地址”下拉列表框中选中服务器的IP地址即可。点击“确定”按钮,这样一个简单的服务器就架设完成了。
完成以上设置后,用户就可以使用客户端软件连接服务器进行收发工作了。在设置客户端软件的SMTP和POP3服务器地址时,输入服务器的域名“xxx”即可。
四、远程Web管理
Windows Server 2003还支持对服务器的远程Web管理。在远端客户机中,运行IE浏览器,在地址栏中输入“https://xxx:8098”,将会弹出连接对话框,输入管理员用户名和密码,点击“确定”按钮,即可登录Web管理界面。
0条评论