WEB服务器如何配置SSL

随着Windows Server 2003操作系统的推出，Windows平台的安全性和易用性大大增强，然而，在默认情况下，IIS使用HTTP协议以明文形式传输数据，没有采取任何加密措施，用户的重要数据很容易被窃取，如何才能保护局域网中的这些重要数据呢下面笔者就介绍一下如何使用SSL增强IIS服务器的通信安全。

一、什么是SSL

SSL（Security Socket Layer）全称是加密套接字协议层，它位于HTTP协议层和TCP协议层之间，用于建立用户与服务器之间的加密通信，确保所传递信息的安全性，同时SSL安全机制是依靠数字证书来实现的。

SSL基于公用密钥和私人密钥，用户使用公用密钥来加密数据，但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下：用户与IIS服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有SSL允许的用户才能与IIS服务器进行通信。

提示：SSL网站不同于一般的Web站点，它使用的是“HTTPS”协议，而不是普通的“HTTP”协议。因此它的URL（统一资源定位器）格式为“https://网站域名”。

二、安装证书服务

要想使用SSL安全机制功能，首先必须为Windows Server 2003系统安装证书服务。

进入“控制面板”，运行“添加或删除程序”，接着进入“Windows组件向导”对话框，勾选“证书服务”选项，点击“下一步”按钮，接着选择CA类型。这里选择“独立根CA”，点击“下一步”按钮，为自己的CA服务器取个名字，设置证书的有效期限，最后指定证书数据库和证书数据库日志的位置，就可完成证书服务的安装。

三、配置SSL网站

1创建请求证书文件

完成了证书服务的安装后，就可以为要使用SSL安全机制的网站创建请求证书文件。点击“控制面板→管理工具”，运行“Internet 信息服务-IIS 管理器”，在管理器窗口中展开“网站”目录，右键点击要使用SSL的网站，选择“属性”选项，在网站属性对话框中切换到“目录安全性”标签页（图1），然后点击“服务器证书”按钮。在“IIS证书向导”对话框中选择“新建证书”，点击“下一步”按钮，选择“现在准备证书请求，但稍后发送”。在“名称”输入框中为该证书取名，然后在“位长”下拉列表中选择密钥的位长。接着设置证书的单位、部门、站点公用名称和地理信息，最后指定请求证书文件的保存位置。这样就完成了请求证书文件的创建。

2申请服务器证书

完成上述设置后，还要把创建的请求证书文件提交给证书服务器。在服务器端的IE浏览器地址栏中输入“http://localhost/CertSrv/defaultasp”。在“Microsoft 证书服务”欢迎窗口中点击“申请一个证书”链接，接下来在证书申请类型中点击“高级证书申请”链接，然后在高级证书申请窗口中点击“使用BASE64编码的CMC或PKCS#10”链接，再打开刚刚生成的“certreqtxt”文件，将其中的内容复制到“保存的申请”输入框后点击“提交”按钮即可。

3颁发服务器证书

点击“控制面板→管理工具”，运行“证书颁发机构”。在主窗口中展开树状目录，点击“挂起的申请”项（图2），找到刚才申请的证书，然后右键点击该项，选择“所有任务→颁发”。颁发成功后，点击树状目录中的“颁发的证书”项，双击刚才颁发的证书，在弹出的“证书”对话框的“详细信息”标签页中，点击“复制到文件”按钮，弹出证书导出向导，连续点击“下一步”按钮，并在“要导出的文件”对话框中指定文件名，最后点击“完成”。

4安装服务器证书

重新进入IIS管理器的“目录安全性”标签页，点击“服务器证书”按钮，弹出“挂起的证书请求”对话框，选择“处理挂起的请求并安装证书”选项，点击“下一步”按钮，指定刚才导出的服务器证书文件的位置，接着设置SSL端口，使用默认的“443”即可，最后点击“完成”按钮。

在“目录安全性”标签页，点击安全通信栏的“编辑”按钮，勾选“要求安全通道（SSL）”选项，最后点击“确定”按钮即可启用SSL。

在完成了对SSL网站的配置后，用户只要在IE浏览器中输入“https://网站域名”就能访问该网站。

http://wenkubaiducom/linkurl=iqNwzhAbdZtFpt2f2SMTaZNZpHwP0Q3nfv0xwHVFTajsGUSbNl2RXtSRi6YkNtUTgCPApRR-DnXB1m4KRtQ6ALSqC4m2fsAD2LrnKRpB1o_

不起作用，并不会被浏览器信任，反而增加了很多不安全因素。

创建自签名证书的步骤

注意：以下步骤仅用于配置内部使用或测试需要的SSL证书。

第1步：生成私钥

使用openssl工具生成一个RSA私钥

$ openssl genrsa -des3 -out serverkey 2048

说明：生成rsa私钥，des3算法，2048位强度，serverkey是秘钥文件名。

注意：生成私钥，需要提供一个至少4位的密码。

第2步：生成CSR（证书签名请求）

生成私钥之后，便可以创建csr文件了。

此时可以有两种选择。理想情况下，可以将证书发送给证书颁发机构（CA），CA验证过请求者的身份之后，会出具签名证书（很贵）。另外，如果只是内部或者测试需求，也可以使用OpenSSL实现自签名，具体操作如下：

$ openssl req -new -key serverkey -out servercsr

说明：需要依次输入国家，地区，城市，组织，组织单位，Common Name和Email。其中Common Name，可以写自己的名字或者域名，如果要支持https，Common Name应该与域名保持一致，否则会引起浏览器警告。

Country Name (2 letter code) [AU]:CN

State or Province Name (full name) [Some-State]:Beijing

Locality Name (eg, city) []:Beijing

Organization Name (eg, company) [Internet Widgits Pty Ltd]:joyios

Organizational Unit Name (eg, section) []:info technology

Common Name (eg server FQDN or YOUR name) []:demojoyioscom

Email Address []:liufan@joyioscom

第3步：删除私钥中的密码

在第1步创建私钥的过程中，由于必须要指定一个密码。而这个密码会带来一个副作用，那就是在每次Apache启动Web服务器时，都会要求输入密码，这显然非常不方便。要删除私钥中的密码，操作如下：

cp serverkey serverkeyorg

openssl rsa -in serverkeyorg -out serverkey

第4步：生成自签名证书

如果你不想花钱让CA签名，或者只是测试SSL的具体实现。那么，现在便可以着手生成一个自签名的证书了。

$ openssl x509 -req -days 365 -in servercsr -signkey serverkey -out servercrt

说明：crt上有证书持有人的信息，持有人的公钥，以及签署者的签名等信息。当用户安装了证书之后，便意味着信任了这份证书，同时拥有了其中的公钥。证书上会说明用途，例如服务器认证，客户端认证，或者签署其他证书。当系统收到一份新的证书的时候，证书会说明，是由谁签署的。如果这个签署者确实可以签署其他证书，并且收到证书上的签名和签署者的公钥可以对上的时候，系统就自动信任新的证书。

第5步：安装私钥和证书

将私钥和证书文件复制到Apache的配置目录下即可，在Mac 1010系统中，复制到/etc/apache2/目录中即可。

需要注意的是，在使用自签名证书时，浏览器会提示证书不受信任，如果你是对外网站使用，建议还是去CA机构申请可信的SSL证书。

给网站添加SSL证书的流程：

一、去安信证书一款合适的SSL证书

二、提供资料等待CA机构审核，等待几个工作日颁发（最快的10分钟左右就能颁发）

三、SSL证书颁发之后部署在网站所在的服务器上即可

一台伺服器如何配置多个 SSL 证书

一、正确解决办法：登陆淘宝Gw选择多域名SSL证书就可以，首先普通的伺服器无法实现一台安装多个独立的SSL证书的。

二、技术颁发：IIS8、apache最新版除外，虽然可以安装多个独立的证书，但对CPU、记忆体会消耗一些，如果长期的大站还是选择通配证书或者多域名证书。

三、常见应用环境：目前一台伺服器支援安装多个SSL证书的是：宝塔BT、WDCP（以上仅支援PHP语言为主）

SSL 证书配置在另一台伺服器上

这是多域名证书生成CSR的问题，你百度一下“多域名制作CSR”吧，应该可以帮到你，如果有用，请采纳。谢谢！

一台伺服器IIS7怎么配置多个SSL网站

1、IIS7不支援安装多个独立SSL证书，如果需要只能购买多域名证书。

2、如果伺服器拥有多个独立IP地址，域名指向对应的IP，伺服器系结对应明确IP系结然后按照以下教程操作：:gw/ssl/111

一台伺服器怎样配置两个证书

同一IP如何配置多个HTTPS主机用SNI扩充套件。

SNI(Server Name Indication)定义在RFC 4366，是一项用于改善SSL/TLS的技术，在SSL30/TLS10中被启用。它允许客户端在发起SSL握手请求时(具体说来，是客户端发出SSL请求中的ClientHello阶段)，就提交请求的Host资讯，使得伺服器能够切换到正确的域并返回相应的证书。

要使用SNI，需要客户端和伺服器端同时满足条件，幸好对于现代浏览器来说，大部分都支援SSL30/TLS10及以上版本，所以都可以享受SNI带来的便利。

一台伺服器如何实现配置多个域名

请参考一下:jingyanbaidu/article/7908e85c66a96daf481ad28f

记得把域名解析过去。

如何配置一台伺服器？

伺服器定义十分广请你说明你伺服器的用途是什么,我才能根据你的说明,提供配置,要求,以及需要安装的软体和策略!

企业级的伺服器的话考虑稳定性 不建议自己组装 建议购买HP dell IBM等大厂伺服器

GlassFish伺服器如何配置SSL的安全证书

GlassFish 41 安装SSL证书教程：网页连结

Glassfish 40 安装SSL证书教程：网页连结

GlassFish v31上配置SSL证书：网页连结

最近新更新教程，适用于所有版本：网页连结

安装过程中例项教程，根据实际情况部署的记录：网页连结

说明：安装之前获得JKS证书与安装密码后根据教程部署，如果不知道如何JKS证书可以淘宝：Gw获取证书在部署，当然如果已经有了证书也需要拿到JKS证书才可以使用。

我有多台伺服器多个域名，该如何选购SSL证书

1、一台伺服器，系结多个域名，选择多域名证书。

2、一台伺服器，系结单个域名，选择单域名证书。

3、一台伺服器，系结一级与这个域名的二级域名，选择通配证书。

注：多台伺服器，也是根据一台计算单位，系结的域名数量，来决定证书型别的，如果已确认好域名，建议列出来，淘宝Gw SSL获取证书解决方案。

一台伺服器上多个TOMCAT，如何配置每个TOMCAT的域名

安装一个apache吧，搜寻一下apache的配置，很多详细的文件，很简单的

申请SSL证书后根据服务器环境部属。

解释原因：

Gworg获得SSL证书。

下载证书后得到相应的服务器环境证书。

使用对应的服务器环境证书文件。

然后进入Gworg选择相应的技术文档安装：网页链接

解决办法：安装SSL证书是非常专业的，如果已经拥有了SSL证书不会安装，建议找一些服务器环境部属人员配置，也可以在Gworg获得技术支持。