天翼云如何配置https的ssl证书?
SSL证书配置说明:
SSL证书安装教程:网页链接
SSL自动跳转到HTTPS:网页链接
解决办法:可以在Gworg获得SSL证书并且让技术人员配置到天翼云服务器。
4个站点共用一个SSL证书,那就是多域名SSL证书了。IIS安装多域名SSL证书的教程步骤如下:
1)首先,导入多域名证书,打开IIS管理器,点击根目录,在右侧找到有一个“服务器证书”。
2)打开后,点击右侧“导入”命令。
3)直接选择证书,然后输入密码,点击确定。
4)证书导入成功后,我们选择根目录下—网站—站点,点击右侧“绑定”。
5)在证书绑定窗口中,点击添加。选择“https”以及选择导入的证书。(多个站点都是同样的方法绑定https)
6)打开C盘找到 C:\Windows\System32\inetsrv\config\sslidcspynetfig。
7)在这里要注意一定用记事本打开编辑,搜索443,将域名添加上即可,最后保存。
平常开发要求比较低, 依然在用 HTTP, 但到了微信小程序就不行了, 腾讯和苹果都对 API 提出了 HTTPS 的要求 尤其是苹果, 不仅要求 HTTPS, 还要求 TLS 协议版本要在 12 以上, 这又被称为 App Transport Security(ATS)
关于自己的标准是否满足 ATS, 可以使用此工具检测: ATS(App Transport Security)检测 https://mysslcom/atshtmldomain=&port=443

服务器配置#
使用 Nginx 进行 HTTPS 配置, 服务器几乎不用做改动, 依旧是祖传的 8080 端口, 以我所使用的 Spring Boot 为例, 仅仅是在 applicationyml 中增加了两行配置而已
证书申请/购买#
在域名的基本信息页, 点击免费开启 SSL 证书, 输入相应的域名, 点击「申请」即可申请免费的 DV SSL 证书, 还需要做一些简单的信息补全等, 即可提交申请 如果备案信息都齐全的话, 很快就可以验证成功, 在证书管理页面即可查看证书


选择下载证书for Nginx, 证书一式两份, 后缀分别为 pem 和 key, 下载完上传到服务器
域名映射#
我选择为两个子域名申请证书, 同时将这两个域名映射到同一个IP

Nginx 配置#
首先, 需要把 http 都转发到 https, 需要使用 rewrite, 这样, 当访问 http://examplecn 会自动转发到 https://examplecn
然后就是真正的 https 不分了, 虽然域名不同, 但都监听 443 端口, 但有着不同的 server_name, 这样当收到请求时就可以根据请求的 server_name 不同来转发到不同的服务
而服务自身像往常一样只要继续监听 8090、8091 即可
配置修改好之后, 需要重启 Nginx
参考#
Nginx 配置 HTTPS 服务器 | Aotuio「凹凸实验室」
阿里云+Https+Nginx+SpringBoot | tt_study
作者:质子
出处:https://wwwcnblogscom/imzhizi/p/https-server-using-nginxhtml
本站使用「CC BY 40」创作共享协议,转载请在文章明显位置注明作者及出处。
以管理员身份登录到 Web 服务器计算机。
2 单击开始,指向设置,然后单击控制面板。
3 双击管理工具,然后双击 Internet 服务管理器。
4 从左窗格中的不同服务站点的列表中选择 Web 站点。
5 右键单击希望为其配置 SSL 通信的 Web 站点、文件夹或文件,然后单击属性。
6 单击目录安全性选项卡。
7 单击编辑。
8 如果希望 Web 站点、文件夹或文件要求 SSL 通信,请单击需要安全通道 (SSL)。
9 单击需要 128 位加密以配置 128 位(而不是 40 位)加密支持。
10 要允许用户不必提供证书就可以连接,请单击忽略客户证书。
或者,如果要让用户提供证书,请使用接受客户证书。
11 要配置客户端映射,请单击启用客户证书映射,然后单击编辑将客户证书映射到用户。
如果配置了此功能,可以将客户证书分别映射到 Active Directory 中的每个用户。可以使用此功能以根据用户访问 Web 站点时提供的证书自动识别用户。可以将用户一对一映射到证书(一个证书标识一个用户),或者将许多证书映射到一个用户(根据特定的规则,对照证书列表来匹配特定的用户。第一个有效的匹配项成为映射。)
12 单击确定。
回答不容易,希望能帮到您,满意请帮忙采纳一下,谢谢 !
1找到jdk安装目录,运行控制台,切换到该目录;
2使用keytool为tomcat生成证书;
keytool -genkey -v -alias tomcat -keyalg RSA -keystore tomcatkeystore -validity 36500
3为客户端生成证书;
keytool -genkey -v -alias huawei -keyalg RSA -storetype PKCS12 -keystore huaweitestp12 -validity 36500
4将huaweitestp12导入到tomcat的信任证书链中
keytool-export -alias huawei -keystore huaweitestp12 -storetype PKCS12 -rfc -filehuaweitestcer
keytool-import -alias huawei -v -file huaweitestcer -keystore tomcatkeystore
5从tomcat的证书链里导出跟证书
keytool-export -v -alias tomcat -file CAcer-keystore tomcatkeystore
6将华为的outgoingCertpem导入tomcat的信任证书链
keytool -import -v -file outgoingCertpem -alias huawei -keystore tomcatkeystore
7将华为的capem导入tomcat的信任证书链
keytool -import -v -file capem -alias huawei_ca -keystore tomcatkeystore
8配置tomcat
双向认证:
<Connector port="28443"
protocol="orgapachecoyotehttp11Http11NioProtocol"
scheme="https" secure="true"
keystoreFile="conf/keys/tomcatkeystore" keystorePass="123$%^"
truststoreFile="conf/keys/tomcatkeystore" truststorePass="123$%^"
clientAuth="true" sslProtocol="TLS"
maxThreads="150" SSLEnabled="true">
单向认证:
<Connector port="28443"
protocol="orgapachecoyotehttp11Http11NioProtocol"
scheme="https" secure="true"
keystoreFile="conf/keys/tomcatkeystore" keystorePass="123$%^"
clientAuth="false" sslProtocol="TLS"
maxThreads="150" SSLEnabled="true">
9配置完后,可以在本地验证配置是否成功。
在服务器上进行格式转换成pem格式
openssl x509 -inform der -in CAcer -out capem
通过以下命令模拟与应用服务器建链
单向认证模拟建链:
openssl s_client -connect ip:port -tls1 -CAfile capem
双向认证模拟建链:
openssl s_client -connect ip:port -cert huaweitestpem -CAfile CApem -tls1
10将生成的huaweitestp12和CAcer证书发给华为接口人。
0条评论