如何确保 https 服务器的 tls 版本支持1.2及以下版本?

如何确保 https 服务器的 tls 版本支持1.2及以下版本?,第1张

TLS 12要求服务器配置文档:https://wwwgworgcom/ssl/277html。

一台能保证24小时不断电的电脑,一根固定IP地址的光纤,一个域名,安装Windows 2003系统就可以架设服务器了。

下面我们来通过Windows Server 2003提供的POP3服务和SMTP服务架设小型服务器来满足我们的需要。

一、安装POP3和SMTP服务组件

Windows Server 2003默认情况下是没有安装POP3和SMTP服务组件的,因此我们要手工添加。

1安装POP3服务组件

以系统管理员身份登录Windows Server 2003 系统。依次进入“控制面板→添加或删除程序→添加/删除Windows组件”,在弹出的“Windows组件向导”对话框中选中“电子服务”选项,点击“详细信息”按钮,可以看到该选项包括两部分内容:POP3服务和POP3服务Web管理。为方便用户远程Web方式管理服务器,建议选中“POP3服务Web管理”。

2安装SMTP服务组件

选中“应用程序服务器”选项,点击“详细信息”按钮,接着在“Internet信息服务(IIS)”选项中查看详细信息,选中“SMTP Service”选项,最后点击“确定”按钮。此外,如果用户需要对服务器进行远程Web管理,一定要选中“万维网服务”中的“远程管理(HTML)”组件。完成以上设置后,点击“下一步”按钮,系统就开始安装配置POP3和SMTP服务了。

二、配置POP3服务器

1创建域

点击“开始→管理工具→POP3服务”,弹出POP3服务控制台窗口。选中左栏中的POP3服务后,点击右栏中的“新域”,弹出“添加域”对话框,接着在“域名”栏中输入服务器的域名,也就是地址“@”后面的部分,如“xxx”,最后点击“确定”按钮。其中“xxx”为在Internet上注册的域名,并且该域名在DNS服务器中设置了MX交换记录,解析到Windows Server 2003服务器IP地址上。

2创建用户邮箱

选中刚才新建的“xxx”域,在右栏中点击“添加邮箱”,弹出添加邮箱对话框,在“邮箱名”栏中输入用户名,然后设置用户密码,最后点击“确定”按钮,完成邮箱的创建。

三、配置SMTP服务器

完成POP3服务器的配置后,就可开始配置SMTP服务器了。点击“开始→程序→管理工具→Internet信息服务(IIS)管理器”,在“IIS管理器”窗口中右键点击“默认SMTP虚拟服务器”选项,在弹出的菜单中选中“属性”,进入“默认SMTP虚拟服务器”窗口,切换到“常规”标签页,在“IP地址”下拉列表框中选中服务器的IP地址即可。点击“确定”按钮,这样一个简单的服务器就架设完成了。

完成以上设置后,用户就可以使用客户端软件连接服务器进行收发工作了。在设置客户端软件的SMTP和POP3服务器地址时,输入服务器的域名“xxx”即可。

四、远程Web管理

Windows Server 2003还支持对服务器的远程Web管理。在远端客户机中,运行IE浏览器,在地址栏中输入“https://xxx:8098”,将会弹出连接对话框,输入管理员用户名和密码,点击“确定”按钮,即可登录Web管理界面。

作为国内领先的云计算服务商,小鸟云有着完善的行业解决方案和卓越的云计算技术。自主研发的纯SSD架构云服务器,以50,000IOPS随机读写速度、800Mb/s吞吐量的高性能数值刷新行业记录。其整合资源、细化资源到落地资源的服务举措,旨在打造差异化的开放式闭环生态系统,帮助用户快速构建稳定、安全的云计算环境。

配置HTTPS主机,必须在server配置块中打开SSL协议,还需要指定服务器端证书和密钥文件的位置:

server {

listen 443;

server_name wwwexamplecom;

ssl on;

ssl_certificate wwwexamplecomcrt;

ssl_certificate_key wwwexamplecomkey;

ssl_protocols SSLv3 TLSv1 TLSv11 TLSv12;

ssl_ciphers HIGH:!aNULL:!MD5;

}

服务器证书是公开的,会被传送到每一个连接到服务器的客户端。而私钥不是公开的,需要存放在访问受限的文件中,当然,nginx主进程必须有读取密钥的权限。私钥和证书可以存放在同一个文件中:

ssl_certificate wwwexamplecomcert;

ssl_certificate_key wwwexamplecomcert;

这种情况下,证书文件同样得设置访问限制。当然,虽然证书和密钥存放在同一个文件,只有证书会发送给客户端,密钥不会发送。

ssl_protocols和ssl_ciphers指令可以用来强制用户连接只能引入SSL/TLS那些强壮的协议版本和强大的加密算法。从105版本开始,nginx默认使用“ssl_protocols SSLv3 TLSv1”和“ssl_ciphers HIGH:!aNULL:!MD5”,所以只有在之前的版本,明确地配置它们才是有意义的。从1113和1012版本开始,nginx默认使用“ssl_protocols SSLv3 TLSv1 TLSv11 TLSv12”。

CBC模式的加密算法容易受到一些攻击,尤其是BEAST攻击(参见CVE-2011-3389)。可以通过下面配置调整为优先使用RC4-SHA加密算法:

ssl_ciphers RC4:HIGH:!aNULL:!MD5;

ssl_prefer_server_ciphers on;

第一步:将CSR提交到代理商

CSR(Certificate Signing Request)文件必须由用户自己生成,也可以利用在线CSR生成工具。选择要申请的产品,提交一个新的订单,并将制作好的CSR文件提交。

第二步 资料提交到CA

当收到您的订单和CSR后,如果是域名验证型证书(DV SSL证书),在域名验证之后10分钟左右就可颁发证书,若是其他类型证书则是需要通过CA机构进行验证之后才可颁发。

第三步 发送验证邮件到管理员邮箱

权威CA机构获得资料后,将发送一封确认信到管理员邮箱,信中将包含一个 对应的链接过去。每一个订单,都有一个唯一的PIN以做验证用。

第四步 邮件验证

点击确认信中的链接,可以访问到CA机构验证网站,在验证网站,可以看到该订单的申请资料,然后点击”I Approve”完成邮件验证。

第五步 颁发证书

在用户完成邮件验证之后,CA机构会将证书通过邮件方式发送到申请人自己的邮箱。

当用户收到SSL证书后就可以配置到服务器上就可以实现HTTPS加密了。

1找到jdk安装目录,运行控制台,切换到该目录;

2使用keytool为tomcat生成证书;

keytool -genkey -v -alias tomcat -keyalg RSA -keystore tomcatkeystore -validity 36500

3为客户端生成证书;

keytool -genkey -v -alias huawei -keyalg RSA -storetype PKCS12 -keystore huaweitestp12 -validity 36500

4将huaweitestp12导入到tomcat的信任证书链中

keytool-export -alias huawei -keystore huaweitestp12 -storetype PKCS12 -rfc -filehuaweitestcer

keytool-import -alias huawei -v -file huaweitestcer -keystore tomcatkeystore

5从tomcat的证书链里导出跟证书

keytool-export -v -alias tomcat -file CAcer-keystore tomcatkeystore

6将华为的outgoingCertpem导入tomcat的信任证书链

keytool -import -v -file outgoingCertpem -alias huawei -keystore tomcatkeystore

7将华为的capem导入tomcat的信任证书链

keytool -import -v -file capem -alias huawei_ca -keystore tomcatkeystore

8配置tomcat

双向认证:

<Connector port="28443"

protocol="orgapachecoyotehttp11Http11NioProtocol"

scheme="https" secure="true"

keystoreFile="conf/keys/tomcatkeystore" keystorePass="123$%^"

truststoreFile="conf/keys/tomcatkeystore" truststorePass="123$%^"

clientAuth="true" sslProtocol="TLS"

maxThreads="150" SSLEnabled="true">

单向认证:

<Connector port="28443"

protocol="orgapachecoyotehttp11Http11NioProtocol"

scheme="https" secure="true"

keystoreFile="conf/keys/tomcatkeystore" keystorePass="123$%^"

clientAuth="false" sslProtocol="TLS"

maxThreads="150" SSLEnabled="true">

9配置完后,可以在本地验证配置是否成功。

在服务器上进行格式转换成pem格式

openssl x509 -inform der -in CAcer -out capem

通过以下命令模拟与应用服务器建链

单向认证模拟建链:

openssl s_client -connect ip:port -tls1 -CAfile capem

双向认证模拟建链:

openssl s_client -connect ip:port -cert huaweitestpem -CAfile CApem -tls1

10将生成的huaweitestp12和CAcer证书发给华为接口人。

网站想要开启https服务,就必须安装一个ssl证书。申请流程如下:

第一步,生成并提交CSR(证书签署请求)文件

CSR文件一般都可以通过在线生成(或服务器上生成),申请人在制作的同时系统会产生两个秘钥,公钥CSR和密钥KEY。选择了SSL证书申请之后,提交订单并将制作生成的CSR文件一起提交到证书所在的CA颁发机构。

第二步,CA机构进行验证

CA机构对提交的SSL证书申请有两种验证方式:

第一种是域名认证。系统自动会发送验证邮件到域名的管理员邮箱(这个邮箱是通过WHOIS信息查询到的域名联系人邮箱)。管理员在收到邮件之后,确认无误后点击我确认完成邮件验证。所有型号的SSL证书都必须进行域名认证。

第二种是企业相关信息认证。对于SSL证书申请的是OV SSL证书或者EV SSL证书的企业来说,除了域名认证,还得进行人工核实企业相关资料和信息,确保企业的真实性。

第三步,CA机构颁发证书

由于SSL证书申请的型号不同,所验证的材料和方式有些区别,所以颁发时间也是不同的。

如果申请的是DV SSL证书最快10分钟左右就能颁发。如果申请的是OV SSL证书或者EV SSL证书,一般3-7个工作日就能颁发。

完成以上SSL证书申请步骤收到CA的证书之后,就可以将证书部署到服务器上了

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » 如何确保 https 服务器的 tls 版本支持1.2及以下版本?

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情