如何为你的WWW站点启用HTTPS？

本文环境为Ubuntu LTS 1604，已经安装配置好了Nginx，http可以访问。目标是为该网站启用HTTPS，增强站点安全性。

目前获取安全证书的方案有三：

本文中将采取第三种方式。

Let's Encrypt证书机构颁发的免费证书对任何人都是开放的，所以在获取证书的过程中会验证证书申请人是否对网站有控制权，例如，能否在WWW主机上执行获取证书程序。

另外，网站应保持启动，域名有效，80端口可被外界访问。

具体访问步骤如下：

本文忽略了安装前提软件的执行过程，同时因为系统中有多个站点，所以还是希望能够获取到证书后自行配置启用HTTPS。以下主要是命令 sudo certbot --nginx certonly 的日志记录。过程中需要回答一些问题。

根据日志可以看到，证书为/etc/letsencrypt/live/mytestchinanorthcloudappchinacloudapicn/fullchainpem，

key文件为/etc/letsencrypt/live/mytestchinanorthcloudappchinacloudapicn/privkeypem，证书过期日期为 2018-11-04 。自动续订的命令为 certbot renew

查看Linux系统还可发现，只有root可以操作/etc/letsencrypt/live目录。

编辑Nginx的配置文件，将证书信息更新到配置之中。

重新访问站点，如下图所示，表明HTTPS启用成功。

用户默认访问HTTP站点，为了让用户访问HTTP时自动跳转到HTTPS，需要编辑Nginx的配置文件，如下：

重新启动Nginx验证

使用certbot可以极大程度简化证书的获取过程，而自动化续订更是极大的方便了系统运维人员，并确保站点始终安全运行。

据调查，29%的TLS应用都使用了有效期为90天的证书，所以Let's Encrypt的证书有效期只有90天。有效期为90天和1年对数据加密并无影响，但较短的有效期能够降低证书被盗用的风险，并且有助于推动证书续订自动化。

通过查看证书的详细信息，可以发现免费签发的证书是只验证域名所有权，而不验证所有者和机构的。所以这类证书也叫做DV（Domain Validated）证书。校验所有者的证书叫做OV（Owner Validated）证书。此外，金融类等机构要求超级安全的证书,要求更加严格的身份验证标准，也叫EV（Extend Validated）证书。

以管理员身份登录到 Web 服务器计算机。 

2 单击开始，指向设置，然后单击控制面板。 

3 双击管理工具，然后双击 Internet 服务管理器。 

4 从左窗格中的不同服务站点的列表中选择 Web 站点。 

5 右键单击希望为其配置 SSL 通信的 Web 站点、文件夹或文件，然后单击属性。 

6 单击目录安全性选项卡。 

7 单击编辑。 

8 如果希望 Web 站点、文件夹或文件要求 SSL 通信，请单击需要安全通道 (SSL)。 

9 单击需要 128 位加密以配置 128 位（而不是 40 位）加密支持。 

10 要允许用户不必提供证书就可以连接，请单击忽略客户证书。

或者，如果要让用户提供证书，请使用接受客户证书。 

11 要配置客户端映射，请单击启用客户证书映射，然后单击编辑将客户证书映射到用户。 

如果配置了此功能，可以将客户证书分别映射到 Active Directory 中的每个用户。可以使用此功能以根据用户访问 Web 站点时提供的证书自动识别用户。可以将用户一对一映射到证书（一个证书标识一个用户），或者将许多证书映射到一个用户（根据特定的规则，对照证书列表来匹配特定的用户。第一个有效的匹配项成为映射。） 

12 单击确定。

 回答不容易,希望能帮到您,满意请帮忙采纳一下，谢谢  !    

　　第一步:在IE中选择“工具→Inter选项”，切换到“高级”标签，勾选“使用SSL 20”和“使用SSL 30”两项。单击“自定义级别”按钮，确保“显示混合内容”一项为“启用”或“提示”。

　　第二步:运行“servicesmsc”命令打开服务管理窗口，找到一项名为“HTTPSLL”的服务，确保将其设置为“自动”或者“手动”。

　　第三步:利用防火墙软件或者第三方工具查看本机开放的端口中443 是否被关闭。HTTPS页面需要通过这个端口来互访，如果443端口被关闭，请设置开放该端口或者与局域网管理员联系。

　　因此,除了防火墙之外还要看你的第一和第二步里设置是否和上面说的一样。