SSL证书申请与ssl证书部署方法

越来越多的企业或者个人开始认识到网络安全性的重要性，https网络传输过程的优势也越来越突显：提升网站的安全等级，获取客户端对网站的信任度。SSL证书越来越被大众所推崇。对于刚接触的新用户来说，可能还不清楚为什么需要申请ssl证书？怎么申请购买证书？

1. 为什么需要申请SSL证书呢?

HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议， 在目前的技术背景下，HTTPS是现行架构下最安全的。防止网站被篡改，非法跳转，防止网站被灌入广告，防止数据在传输过程中不被窃取、改变，确保数据的完整性等。从SEO的角度出发，无论是Google还是百度都展示出了对HTTPS的青睐，百度官方表示https的网站更有安全性，在排序上会有倾斜，收录速度更快。所以申请ssl证书是必要的。

2.怎么申请SSL证书呢？或者 https证书呢。

SSL证书基本上都是国外品牌，如：geotrust 赛门铁克 comodo等，国内服务商只是作为代理。步骤三步走：

1. CSR文件制作：申请SSL证书之前，需要制作CSR文件，CSR，是制作SSL 证书的必要步骤。一个 CSR 文件中描述了 SSL 证书持有人的信息（如个人姓名或公司名称）、联系地址等，用于验证 SSL 证书和域名是同一个人持有，以确保网站的合法性。制作完成后向 SSL 证书提供商上传这个文件，以获得最终的 SSL 证书。

注意事项

在申请服务器证书时，不要出现某些特殊字符如：(@,#,&,!,等等，例如：您可以将"&"用"and"代替)。否则在您提交CSR后，会出现"105"的错误代码。

2）CA认证证书申请：将制作好的CSR提交给CA，CA一般有2种认证方式：

　1)域名认证：一般通过对管理员邮箱认证的方式，这种方式认证速度快，但是签发的证书中没有企业的名称;

　2)企业文档认证：需要提供企业的营业执照。

　也有需要同时认证以上2种方式的证书，例如EV ssl证书，这种证书可以使浏览器的绿色地址栏上直接显示企业信息，所以认证也最严格。

3）证书安装：

在收到CA的证书后，就可以将证书部署到服务器上了。

Apache 部署SSL证书

a.  查看apache是否开启ssl

        打开 apache安装目录/conf/httpd.conf 文件,找到 里面两行      

        #LoadModule ssl_module modules/mod_ssl.so

        将行首的#去掉,保存文件

        执行命令: apache安装目录/bin/httpd -M | grep ssl_module  , 出现图下结果说明apache已经支持ssl, 否则请先开启apache的ssl模块

b.  配置证书到对应的站点

         编辑站点对应的站点配置文件,如:apache安装目录/conf/extra/httpd-ssl.conf, 修改内容如下

        <VirtualHost www.domain.com:443>    

            DocumentRoot "/var/www/html"    

            ServerName www.domain.com    

            SSLEngine on    

            SSLCertificateFile          证书文件路径/_www.domain.com.cer  

            SSLCertificateKeyFile    证书文件路径/_www.domain.com.key    

            SSLCertificateChainFile 证书文件路径/_www.domain.com_ca.crt  

        </VirtualHost>

    c.    重启apache生效

 

TOMCAT部署SSL证书

a．需要将CA签发的证书CER文件导入www.domain.com.jks文件后放到conf目录下，复制上服务器，然后配置同目录下的server.xml文件

 <Connector 

                port="443" 

                protocol="HTTP/1.1" 

                SSLEnabled="true"    

                maxThreads="150" 

                scheme="https" 

                secure="true"    

                keystoreFile="conf\www.domain.com.jks"    

                keystorePass="changeit"    

                clientAuth="false" sslProtocol="TLS" 

            />

说明

            clientAuth如果设为true，表示Tomcat要求所有的SSL客户出示安全证书，对SSL客户进行身份验证

            keystoreFile指定keystore文件的存放位置，可以指定绝对路径，也可以指定相对于 （Tomcat安装目录）环境变量的相对路径。如果此项没有设定，默认情况下，Tomcat将从当前操作系统用户的用户目录下读取名为 “.keystore”的文件。

            keystorePass密钥库密码，指定keystore的密码。（如果申请证书时有填写私钥密码，密钥库密码即私钥密码）

            sslProtocol指定套接字（Socket）使用的加密/解密协议，默认值为TLS

b.    http自动跳转https的安全配置

            到conf目录下的web.xml。在</welcome-file-list>后面，</web-app>，也就是倒数第二段里，加上这样一段

            <web-resource-collection >    <web-resource-name >SSL</web-resource-name>    <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint>    <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint>

            这步目的是让非ssl的connector跳转到ssl的connector去。所以还需要前往server.xml进行配置：

            <Connector port="8080" protocol="HTTP/1.1"    connectionTimeout="20000"    redirectPort="443" />

            redirectPort改成ssl的connector的端口443，重启后便会生效。

IIS部署SSL证书

IIS最为简单，只需要处理挂起的请求，将CER文件导入，然后网站绑定即可。

 

参考来源（https://www.bisend.cn/ssl-certificate）

 

转载于:https://my.oschina.net/u/3941255/blog/1925071