首页服务器服务器配置https,如何给域名配置https证书

服务器配置https,如何给域名配置https证书

编程之家2023-10-2373次浏览

这篇文章给大家聊聊关于服务器配置https,以及如何给域名配置https证书对应的知识点,希望对各位有所帮助,不要忘了收藏本站哦。

服务器配置https,如何给域名配置https证书

如何在本地配置https服务器

1.找到jdk安装目录,运行控制台,切换到该目录;

2.使用keytool为tomcat生成证书;

keytool-genkey-v-alias tomcat-keyalg RSA-keystore tomcat.keystore-validity 36500

3.为客户端生成证书;

keytool-genkey-v-alias huawei-keyalg RSA-storetype PKCS12-keystore huaweitest.p12-validity 36500

4.将huaweitest.p12导入到tomcat的信任证书链中

服务器配置https,如何给域名配置https证书

keytool-export-alias huawei-keystore huaweitest.p12-storetype PKCS12-rfc-filehuaweitest.cer

keytool-import-alias huawei-v-file huaweitest.cer-keystore tomcat.keystore

5.从tomcat的证书链里导出跟证书

keytool-export-v-alias tomcat-file CA.cer-keystore tomcat.keystore

6.将华为的outgoing.Cert.pem导入tomcat的信任证书链

keytool-import-v-file outgoing.Cert.pem-alias huawei-keystore tomcat.keystore

服务器配置https,如何给域名配置https证书

7.将华为的ca.pem导入tomcat的信任证书链

keytool-import-v-file ca.pem-alias huawei_ca-keystore tomcat.keystore

8.配置tomcat

双向认证:

<Connector port="28443"

protocol="org.apache.coyote.http11.Http11NioProtocol"

scheme="https" secure="true"

keystoreFile="conf/keys/tomcat.keystore" keystorePass="123$%^"

truststoreFile="conf/keys/tomcat.keystore" truststorePass="123$%^"

clientAuth="true" sslProtocol="TLS"

maxThreads="150" SSLEnabled="true">

单向认证:

<Connector port="28443"

protocol="org.apache.coyote.http11.Http11NioProtocol"

scheme="https" secure="true"

keystoreFile="conf/keys/tomcat.keystore" keystorePass="123$%^"

clientAuth="false" sslProtocol="TLS"

maxThreads="150" SSLEnabled="true">

9.配置完后,可以在本地验证配置是否成功。

在服务器上进行格式转换成pem格式

openssl x509-inform der-in CA.cer-out ca.pem

通过以下命令模拟与应用服务器建链

单向认证模拟建链:

openssl s_client-connect ip:port-tls1-CAfile ca.pem

双向认证模拟建链:

openssl s_client-connect ip:port-cert huaweitest.pem-CAfile CA.pem-tls1

10.将生成的huaweitest.p12和CA.cer证书发给华为接口人。

windows服务器怎么配置https

关于服务器ssl与https的配置方案

应用场景

通常对于web站点,为了提升安全,利于SEO排名等需求,需要部署ssl,实现https访问。

基础资源

openssl,证书

使用须知

请评估自己产品或项目的实际需求,如果是网站类的还需要考虑老地址的兼容跳转访问,不能出现大量404之类的,那样会影响seo排名和用户体验。

>ssl证书与https的介绍.

>>ssl证书(https)主要起到作用:

1.)实现网站认证、内容加密传输和数据一致性。//例如防电信dns劫持,防止传输过程中暴露账号密码.

经CA签发的证书才起到认证可信的作用,所有有效证书均可以起到加密传输的作用.

[注1]仅能在传输过程中防止被篡改,无法做到不被抓包.

https抓包的原理就是抓包程序将服务器返回的证书截获然后给客户端返回一个它自己的证书客户端发送的数据抓包程序用自己的证书解密,然后再用截获的证书加密,再发给服务器所以你在能看到明文。

密文是针对https两端以外其他路径而言,你作为https链接的两端,当然可以看到明文.

技术一点来说,TLS协议是在tcp协议之上的,tcp又是基于IP协议的。所以无论如何,你的对端IP地址是肯定无法加密的。

>>应用场景.

一般会在比较敏感的部分页面采用https传输,比如注册、登录、控制台等。

[注1]内容加密传输更安全,如果只是为了加密,使用自签发的证书也可以,但浏览器无法验证证书,所以会给出一个非常吓人的警告,所以自签发证书不适合给外人使用,只适合内部使用,把这个证书加入到自己的信任列表或忽略证书验证即可,以后就不会继续拦截了.

>>ssl证书的签发机构.

国外常见的SSL提供商有:Thawte,Go Daddy,VeriSign,RapidSSL,GeoTrust(QuickSSL),StartSSL,Comodo。

StartSSL、Go Daddy的比较便宜,GeoTrust、Comodo的价格适中,Thawte和VeriSign的价格较贵。

VeriSign现在归属赛门铁克,在国内是由天威诚信代理的。

>>关于自签SSL证书相对权威CA的证书的区别.

区别1)不被浏览器支持,会提示风险.

区别2)无法吊销.

自签名的证书无法被吊销,CA签名的证书可以被吊销能不能吊销证书的区别在于,如果你的私钥被黑客获取,如果证书不能被吊销,则黑客可以伪装成你与用户进行通信.

区别3)容易被伪造(如果核心功能依赖服务器还行,否则不安全).

自签SSL证书是可以随意签发的,不受任何监管,您可以自己签发,别人也可以自己签发。如果您的网站使用自签SSL证书,那黑客也可以伪造一张一模一样的自签证书,用在钓鱼网站上,伪造出有一样证书的假冒网银网站

>>部署须知.

注1).注意证书的保护.

证书签发给你后,最主要是保护好私钥证书,这个丢失或泄漏就完了。因为如果被别人利用也就毫无安全性了,需要向证书签发机构申请撤销证书并申请新的证书,这当然也是要收费的.

注2)证书并不是越贵越好.

ssl证书认证其实就是由可信源认证了一下,类似于办证,用起来没什么差别,并非越贵越好.

注3)ssl的弊端和推荐应用场景.

1.)ssl比http更加耗资源,主要是tcp连接和内容加密方面的开销,因此理论上来说对重要的东西进行https化处理,对公开的文章内容就不需要了.

2.)只要你不能确保永远提供HTTPS服务,就不要启用。因为一旦HSTS生效,你再想把网站重定向为HTTP,之前的老用户会被无限重定向,唯一的办法是换新域名.

注4)部署https的时候需要考虑以下问题.

4.1)如果直接由http切换到https:

老用户依然会使用http,因此需要在服务端做http重定向设置.

IIS7.5下载地址:

中文32位:http://download.microsoft.com/download/4/9/C/49CD28DB-4AA6-4A51-9437-AA001221F606/rewrite_x86_zh-CN.msi

中文64位:http://download.microsoft.com/download/4/E/7/4E7ECE9A-DF55-4F90-A354-B497072BDE0A/rewrite_x64_zh-CN.msi

英文:http://www.iis.net/downloads/microsoft/url-rewrite

IIS 8安装URL重写参考文献http://shiyousan.com/post/635646254870261696

详情参考:关于服务器ssl与https的配置方案

如何给域名配置https证书

一、制作CSR文件

CSR就是Certificate Secure Request证书请求文件。这个文件是由申请人制作,在制作的同时,系统会产生2个密钥,一个是公钥就是这个CSR文件,另外一个是私钥,存放在服务器上。要制作CSR文件,申请人可以参考WEB SERVER的文档,一般APACHE等,使用OPENSSL命令行来生成KEY+CSR2个文件,Tomcat,JBoss,Resin等使用KEYTOOL来生成JKS和CSR文件,IIS通过向导建立一个挂起的请求和一个CSR文件。另外,也可以通过沃通CA提供的CSR在线生成工具在线生成,或者联系沃通CA协助生成。

二、CA认证

将CSR提交给我们的工作人员,一般有2种认证方式:

1、域名认证,一般通过对管理员邮箱认证的方式,这种方式认证速度快,但是签发的证书中没有企业的名称;

2、企业文档认证,需要提供企业的营业执照。一般需要3-5个工作日。

三、证书的安装

在收到我们发给您的CA证书后,可以将证书部署上服务器,一般APACHE文件直接将KEY+CER复制到文件上,然后修改HTTPD.CONF文件;TOMCAT等,需要将CA签发的证书CER文件导入JKS文件后,复制上服务器,然后修改SERVER.XML;IIS需要处理挂起的请求,将CER文件导入。

以上,依然不知道如何申请,可以联系沃通CA为您提供更加详细周到的帮助。

关于服务器配置https和如何给域名配置https证书的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。

dns 服务器(什么是dns服务器)outlook邮箱服务器设置?OutLOOK中怎样设置服务器