天翼云如何配置https的ssl证书？

云服务器安装SSL证书是根据服务器环境来配置的。

SSL证书配置说明：

SSL证书安装教程：网页链接

SSL自动跳转到HTTPS：网页链接

解决办法：可以在Gworg获得SSL证书并且让技术人员配置到天翼云服务器。

4个站点共用一个SSL证书，那就是多域名SSL证书了。IIS安装多域名SSL证书的教程步骤如下：

1）首先，导入多域名证书，打开IIS管理器，点击根目录，在右侧找到有一个“服务器证书”。

2）打开后，点击右侧“导入”命令。

3）直接选择证书，然后输入密码，点击确定。

4）证书导入成功后，我们选择根目录下—网站—站点，点击右侧“绑定”。

5）在证书绑定窗口中，点击添加。选择“https”以及选择导入的证书。（多个站点都是同样的方法绑定https）

6）打开C盘找到  C:\Windows\System32\inetsrv\config\sslidcspynetfig。

7）在这里要注意一定用记事本打开编辑，搜索443，将域名添加上即可，最后保存。

平常开发要求比较低, 依然在用 HTTP, 但到了微信小程序就不行了, 腾讯和苹果都对 API 提出了 HTTPS 的要求 尤其是苹果, 不仅要求 HTTPS, 还要求 TLS 协议版本要在 12 以上, 这又被称为 App Transport Security(ATS)

关于自己的标准是否满足 ATS, 可以使用此工具检测: ATS(App Transport Security)检测 https://mysslcom/atshtmldomain=&port=443



服务器配置#

使用 Nginx 进行 HTTPS 配置, 服务器几乎不用做改动, 依旧是祖传的 8080 端口, 以我所使用的 Spring Boot 为例, 仅仅是在 applicationyml 中增加了两行配置而已

证书申请/购买#

在域名的基本信息页, 点击免费开启 SSL 证书, 输入相应的域名, 点击「申请」即可申请免费的 DV SSL 证书, 还需要做一些简单的信息补全等, 即可提交申请 如果备案信息都齐全的话, 很快就可以验证成功, 在证书管理页面即可查看证书





选择下载证书for Nginx, 证书一式两份, 后缀分别为 pem 和 key, 下载完上传到服务器

域名映射#

我选择为两个子域名申请证书, 同时将这两个域名映射到同一个IP



Nginx 配置#

首先, 需要把 http 都转发到 https, 需要使用 rewrite, 这样, 当访问 http://examplecn 会自动转发到 https://examplecn

然后就是真正的 https 不分了, 虽然域名不同, 但都监听 443 端口, 但有着不同的 server_name, 这样当收到请求时就可以根据请求的 server_name 不同来转发到不同的服务

而服务自身像往常一样只要继续监听 8090、8091 即可

配置修改好之后, 需要重启 Nginx

参考#

Nginx 配置 HTTPS 服务器 | Aotuio「凹凸实验室」

阿里云+Https+Nginx+SpringBoot | tt_study

作者：质子

出处：https://wwwcnblogscom/imzhizi/p/https-server-using-nginxhtml

本站使用「CC BY 40」创作共享协议，转载请在文章明显位置注明作者及出处。

以管理员身份登录到 Web 服务器计算机。 

2 单击开始，指向设置，然后单击控制面板。 

3 双击管理工具，然后双击 Internet 服务管理器。 

4 从左窗格中的不同服务站点的列表中选择 Web 站点。 

5 右键单击希望为其配置 SSL 通信的 Web 站点、文件夹或文件，然后单击属性。 

6 单击目录安全性选项卡。 

7 单击编辑。 

8 如果希望 Web 站点、文件夹或文件要求 SSL 通信，请单击需要安全通道 (SSL)。 

9 单击需要 128 位加密以配置 128 位（而不是 40 位）加密支持。 

10 要允许用户不必提供证书就可以连接，请单击忽略客户证书。

或者，如果要让用户提供证书，请使用接受客户证书。 

11 要配置客户端映射，请单击启用客户证书映射，然后单击编辑将客户证书映射到用户。 

如果配置了此功能，可以将客户证书分别映射到 Active Directory 中的每个用户。可以使用此功能以根据用户访问 Web 站点时提供的证书自动识别用户。可以将用户一对一映射到证书（一个证书标识一个用户），或者将许多证书映射到一个用户（根据特定的规则，对照证书列表来匹配特定的用户。第一个有效的匹配项成为映射。） 

12 单击确定。

 回答不容易,希望能帮到您,满意请帮忙采纳一下，谢谢  !    

1找到jdk安装目录，运行控制台，切换到该目录；

2使用keytool为tomcat生成证书;

keytool -genkey -v -alias tomcat -keyalg RSA -keystore tomcatkeystore -validity 36500

3为客户端生成证书;

keytool -genkey -v -alias huawei -keyalg RSA -storetype PKCS12 -keystore huaweitestp12 -validity 36500

4将huaweitestp12导入到tomcat的信任证书链中

keytool-export -alias huawei -keystore huaweitestp12 -storetype PKCS12 -rfc -filehuaweitestcer

keytool-import -alias huawei -v -file huaweitestcer -keystore tomcatkeystore

5从tomcat的证书链里导出跟证书

keytool-export -v -alias tomcat -file CAcer-keystore tomcatkeystore

6将华为的outgoingCertpem导入tomcat的信任证书链

keytool -import -v -file outgoingCertpem -alias huawei -keystore tomcatkeystore

7将华为的capem导入tomcat的信任证书链

keytool -import -v -file capem -alias huawei_ca -keystore tomcatkeystore

8配置tomcat

双向认证：

<Connector port="28443"

protocol="orgapachecoyotehttp11Http11NioProtocol"

scheme="https" secure="true"

keystoreFile="conf/keys/tomcatkeystore" keystorePass="123$%^"

truststoreFile="conf/keys/tomcatkeystore" truststorePass="123$%^"

clientAuth="true" sslProtocol="TLS"

maxThreads="150" SSLEnabled="true">

单向认证：

<Connector port="28443"

protocol="orgapachecoyotehttp11Http11NioProtocol"

scheme="https" secure="true"

keystoreFile="conf/keys/tomcatkeystore" keystorePass="123$%^"

clientAuth="false" sslProtocol="TLS"

maxThreads="150" SSLEnabled="true">

9配置完后，可以在本地验证配置是否成功。

在服务器上进行格式转换成pem格式

openssl x509 -inform der -in CAcer -out capem

通过以下命令模拟与应用服务器建链

单向认证模拟建链：

openssl s_client -connect ip:port -tls1 -CAfile capem

双向认证模拟建链：

openssl s_client -connect ip:port -cert huaweitestpem -CAfile CApem -tls1

10将生成的huaweitestp12和CAcer证书发给华为接口人。