作者归档:sslgood

SSL证书价格贵吗?真的不贵!

SSL证书价格贵吗?在全网HTTPS加密的趋势下,部署SSL证书已经是网站安全必备的方式。但仍然有网站所有者认为SSL证书价格偏贵,对SSL证书采取观望态度。不采用SSL证书会造成什么损失吗?数据泄露、钓鱼攻击、访客流失……,跟这些损失比起来,SSL证书真的不贵!

浏览器“不安全”警告造成访客流失

网站未使用SSL证书,可能会造成网站访客流失!今年10月开始,谷歌Chrome 62将对大部分HTTP页面标记“不安全”,如果你的网站仍然使用HTTP连接,访客在访问以下这些页面时,将看到“不安全”警告提示:

★ 登录页面、支付页面等需要输入密码的页面;

★注册表单、调查问卷、意见反馈、邮件订阅框;

★ 电商网站上的产品搜索框;

★ 新闻网站上的信息搜索框;

也就是说任何需要输入密码或文本的表单页面,未使用HTTPS加密,都将被Chrome标记“不安全”。试想一下,访客看到“不安全”的网站,还能继续放心浏览并达成交易吗?网站未使用SSL证书,可能直接造成访客流失及在线销售额的损失。

1

数据泄露给用户带来损失

HTTP协议以明文方式发送内容,不提供任何方式的数据加密,攻击者通过数据抓包就能轻松拦截客户端和网站服务器之间传输的明文数据,直接获取其中的重要信息,因此HTTP协议不适用于传输一些敏感信息,比如信用卡号、密码等。

2

如果网站仍然在登录、支付页面或需要用户输入文本的表单页面使用HTTP协议,那么用户输入的任何机密数据都可能在传输过程中被窃取或篡改。2016年因数据泄露相关事件,造成中国网民的经济损失高达915亿元,出现数据泄露事故的网站也受到股价下滑、用户流失、品牌贬值等负面影响

钓鱼网站对商誉造成损失

最典型的网络钓鱼攻击,是将用户引诱到一个通过精心设计的、与用户访问的目标网站非常相似的钓鱼网站上,用复制图片、网页设计、相似的域名、URL隐藏、URL缩短等方式,混淆用户的判断,以此骗取用户个人敏感信息或支付款项,再利用个人敏感信息实施精准诈骗。在钓鱼攻击的流程中,一个以假乱真的钓鱼网站是钓鱼骗局最重要的组成部分,结合伪基站短信、钓鱼邮件、客户端木马程序等技术方式,网络钓鱼攻击的成功率高得惊人。

3

被钓鱼网站仿冒的通常是一些合法的品牌网站,拥有一定的用户量并需要进行敏感信息交互,比如网上银行、电子商务网站、电信运营商网站、在线旅游、酒店、订票服务等等。如果用户经常遭遇仿冒某些品牌网站的钓鱼网站欺诈并造成经济损失,表面看起来用户的损失似乎跟这些品牌网站没有任何关系,但是实际上已经给用户留下了不可挽回的负面印象,用户继续选择这些品牌网站的意愿也大大降低。如何建立安全可信、让用户能够轻松识别真伪的网站,保护用户免受钓鱼网站欺骗,是网站所有者应该严肃面对的问题。

有效降低损失,SSL证书真的不贵!

网站部署SSL证书后,采用HTTPS加密传输数据,规避浏览器“不安全”警告,防止访客流失;用户数据高强度加密传输,防止流量劫持和数据泄露;严格认证网站身份信息,并通过证书内容及浏览器向用户展示网站真实身份,让用户能够轻松识别真实网站,免受钓鱼网站威胁,有效解决流量劫持、数据泄露、钓鱼攻击等几大网站安全问题并降低由此带来的损失,而这些并不需要花费昂贵的费用。

SSL证书帮助网站建立安全的数据交互、树立可信的品牌形象,并提供最优惠的SSL证书价格。最低800元起,网站即可在所有浏览器展示绿色地址栏和单位名称,并建立安全的HTTPS加密传输。

外贸网站为什么要安装SSL证书?HTTPS改造的必要性!

外贸网站安全问题其实是触目惊心的,主要表现在以下方面: 1、首页会被篡改,非法跳转; 2、网站被灌入广告,但收入不归自己网站所有;3、网站被浏览器拦截,不信任,海外客户的信任感差!

安装ssl证书进行htts改造成为必要工作,HTTPS是公认可有效的防止网站被黑被篡改的认证协议。

HTTPS的优点:

安全性方面:

在目前的技术背景下,HTTPS是现行架构下最安全的解决方案:

1、使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;

2、HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。

3、HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。

网站收益:

1、网站更安全,对应网站评价会相对高一些;

2、网站更安全,对应网站落地体验也是更加优质的;

3、在搜索展示端,做HTTPS改造的网站,在搜索改造下会出现HTTPS的展现样式。

HTTPS的缺点:

1、SSL的专业证书可能需要花费一定费用,功能越强大的证书费用越高。

2、需要站点投入人力成本,技术改造视站点情况而定。

为什么SSL证书对公司网站很重要?

随着互联网的发展,更好地保护网站的解决方案越来越多。近年来,谷歌一直致力于通过鼓励网站所有者使用HTTPS协议使互联网成为一个更安全的地方,该协议可以确保从您的计算机发送到您正在浏览的站点的数据是加密的,并安全地传输。

今年7月份,网络安全措施将变的更加严格。随着Chrome68的发布,谷歌将把所有没有采用HTTPS的站点标记为不安全。我将解释为什么SSL证书如此重要,以及它们对您的企业或个人网站的好处。

什么是SSL证书?

SSL(安全套接字层)证书已经诞生了20多年。拥有SSL可以确保网站访问者的敏感数据通过安全网络传输。尽管SSL有这个重要的组件,但是由于证书的价格和实现的复杂性,许多用户和组织都推迟了采用它们。现在,获得SSL证书要比以往容易得多,因为有很多平台免费提供SSL证书的计划,并且使它们的安装变的超级简单。

拥有SSL证书重要吗?

如果你仍然需要被说服启用SSL证书,以下是几个重要的原因:

提高网站安全性:首先,SSL证书将保护从您的网站传输到您的网站的敏感数据。这些信息可以是登录细节、注册、地址和支付或个人信息。SSL证书将加密连接,并帮助保护访问者的数据不被攻击者滥用。

所有子域名的安全性:一种称为通配符的特定类型的SSL证书允许您使用一个SSL证书保护主站点及其所有子域名(如jn.sslgood.com或ali.sslgood.com)。如果您是一位企业网站所有者,或者维护多个子域名的大型网站,那么这一点尤其有用。使用标准SSL,您必须为每个子域名安装单独的证书。

对客户的信誉和信任:SSL证书的一个重要好处是,它们将帮助您获得访问者的信任。您的网站将在浏览器的地址栏显示安全挂锁。这将表明连接是安全的,您的网站的访问者会觉得您重视他们的隐私。如果您的网站没有SSL证书,一些浏览器可能会将其标记为“不安全”。

SEO优势:安装SSL证书的另一个好处是,你的网站将获得SEO排名的提高。根据HTTPSeverywhere计划,谷歌给加密连接的网站一个轻微的排名提升。尽管这种提升可能并不显著,但是拥有SSL将使您相对于还没有证书的竞争对手具有优势。

 如何获得SSL证书?

获得SSL证书的最常见方法是检查当前网站托管提供商是否提供SSL证书。目前,大多数SSL版本都是付费的。然而,越来越多的公司开始发布免费的SSL证书,包括赛门铁克这样的大公司。网站SSL证书加密变的越来越普及。Let’sEncrypt是由领先的IT公司的专业人员组成的,它使每个人都可以轻松(而且免费)地连接到自己的网站,从而加强了网站的安全性。该公司最近还免费发布了通配符SSL证书。

如果您有一个企业级站点(或多个站点),请考虑使用EV证书。EV证书具有严格的身份验证过程,并将在浏览器的URL中添加更多可见的信任指标,如公司名称、国家缩写、绿色栏等等。

总而言之,为您的企业或个人网站激活SSL证书是非常重要的,一些web主机提供商已经使安装它们变得简单和快速。不要错过充分利用HTTPS的变革,为您的网站访问者添加额外的安全保护,并获得他们的信任。

外贸网站为什么要安装SSL证书?

在互联网快速发展的同时,也伴存着很多安全问题,尤其是对用户的信息安全产生严重的影响和威胁,当遭受黑客攻击的时候,损失无疑是巨大的。

SSL网站安全证书已成为企业网站的一个标配。如未配备,你在访问公司网站时,会被提示该站点是不安全的。而我们急需要做的是加强网站的安全以及让用户对企业网站产生足够信任。

 

     尤其是对于外贸营销网站来说

为外贸网站部署SSL证书更是势在必行。外贸网站主要服务的用户在海外,也就是通过谷歌浏览器展示网站。

谷歌浏览器的地址栏将把所有HTTP标示为不安全网站。这意味着,没有部署SSL证书的网站,在谷歌浏览器中都会被标注为不安全,这样用户的体验将会变差,影响销售量

6401

 

SSL证书是一种保护网站安全的数字证书,如果网站安装过SSL,网址开头会从http变成https。而“s”一小步,安全一大步。

    外贸网站完成SSL安装部署,还有以下这些“优势”

  1. 保护网站免受黑客攻击,防止窃听和中间人攻击
  2. 防止用户流量被劫持
  3. 验证企业身份,帮助用户识别钓鱼网站
  4. 提升网站搜索排名
  5. 保障用户隐私信息安全

最终保护网站安全,提升公司品牌形象和可信度。

640

除此之外,在支点网络验证SSL证书,您还可以体验到

1.免费协助部署证书,安全可信赖

2.多种证书品牌选择,满足你的需求

3.域名型证书自动生成一条解析记录,简化操作流程。

现在,SSL数字证书安装成为企业安全必备,不管你是做小程序、APP、电商网店,还是自己建站,如果你还是HTTP开头的网址,快联系我们,一键部署SSL吧!

没有SSL证书,你的外贸网站处在危险边缘?

随着网络技术的发展,当前各大浏览器厂商都对尚未使用SSL安全证书的网站做了风险预警,以提示用户该网站存在风险。SSL安全证书对外贸网站如此重要,你了解它吗?

什么是SSL安全证书

SSL安全证书是Netscape公司提出的基于WEB应用的安全套接层协议,它指定了一种在应用程序协议和TCPflP协议间提供数据安全性分层的机制,但常用于安全WEB应用的HTTP协议。SSL服务器证书可以有效地证明网站的真实身份、使用的域名的合法性,让使用者可以很容易识别真实网站和仿冒网站。

shenmeshiSSLanquanzhengshu

SSL安全证书对外贸网站的重要性

从外贸企业角度来说:

SSL安全证书的存在让互联网企业的安全性和完善性得到了认可,是对自身提供网络信息服务和网络安全基础功能的一种肯定,能够表明企业可以为用户提供安全有效的服务,是一种互联网企业与用户之间的共赢和相互信任。

从海外用户角度来说:

选择一家具有SSL安全证书的网站进行浏览和观看,能够保证自己的信息更加安全,保证自己在网站上浏览和输入下载的数据有加密传输的保障,很大程度上避免了网络数据传输中数据携带病毒等问题。

SSL安全证书的工作原理

当用户要求他们的浏览器和网站之间建立连接时:

①浏览器获取服务器IP地址,请求与网站的安全连接。

②启动安全连接,服务器会发送SSL证书副本到浏览器。

③浏览器检查SSL证书以确保SSL证书是由受信任的CA机构签名的,确保SSL证书确实有效。

④当浏览器确认网站可以信任时,它会创建一个对称的会话密钥,并且使用网站证书的公钥进行加密。然后将这个密钥发送到Web服务器上。接下来Web服务器使用它的私钥来解密对称会话密钥。

⑤服务器发回用会话密钥加密的确认,启动加密会话。

此过程有时被称为“SSL握手”,虽然听起来像是一个漫长的过程,但它仅发生在几毫秒内。

SSLanquanzhengshudegongzuoyuanli

如果您想使网站的运行更加安全和长期,SSL安全证书对网站来说是必不可少的,它将会在多个方面给您带来便利:

数据加密传输,保护网站安全:

安装使用SSL证书后,能使得网站链接由HTTP开头变成HTTPS,从明文传输转变成加密传输,可以防止信息被窃取和泄露,更有效的保护用户隐私和信息安全。

避免网站被钓鱼,有效的识别网站真实身份:

HTTP网站会被浏览器标记为“不安全”,而安装使用SSL证书会解除这种“不安全”的字眼警示,提升用户的信任度。

提升客户信任度和公司形象:

配置SSL证书,是一个网站专业度的主要表现之一,是对用户信息安全负责的具体表体现,另外HTTPS前缀、绿色的小锁及其EV证书的绿色地址栏可以直接展现公司名字,都在不同程度上都提高了用户信任度和安全感。

优化网站排名:

HTTPS的网站在各大搜索引擎中的主要表现更为突显,各大主流浏览器对HTTPS的网站会优先选择收录。

sslzhengshu

 

Microsoft Exchange 2013 安装配置SSL证书教程

在浏览器中打开 exchange管理员中心 https://localhost/ecp

exchange-install-2013

登录后 点击左侧右下角的servers ,然后点击右侧的 compele ,如下图

exchange-install-2013-2

输入SSL证书所在的目录。ssl证书的格式可以是cer 或者是crt  然后点击确定,这样子证书就安装在服务器上了。

exchange-install-2013-3

点击你刚才安装的证书,接着点击编辑,如下图, 就是下面方框的位置。

exchange-install-2013-4

点击左侧的服务标签,然后选择需要使用SSL证书的服务 。 如smtp imap pop iis 等,然后点击确定。

exchange-install-2013-5

发布exchange 到ISA .

Exchange 2010 SSL证书备份与恢复

一. 备份exchange证书

打开exhange控制台,右键点击已经安装好证书,选择导出exhange证书

20121205161132_688_0

选择证书备份保存到哪个目录,设置证书保护密码,以后恢复证书的时候要用到这个密码。

20140317172041_380

证书的格式pfx,将这个文件保存好。

二. 恢复exhange证书

恢复exhange证书就是将之前备份好的pfx格式的证书重新在exhange控制到导入。打开exhange控制台,点击右侧的导入exhange证书

Exchange_01

选择证书, 然后输入证书保护密码

Exchange_02

选择要到其中的服务器,点击下一步

Exchange_03

点击下一步。

Exchange_04

 

Exchange2-10_11

操作完成。

Tomcat SSL证书配置

Tomcat 支持三种不同的证书格式来实现 SSL证书配置,包括 jks、pfx、crt(pem),我们介绍如何在Tomcat 8 安装这三种格式的SSL证书

1. 安装PEM编码的SSL证书

PEM编码的SSL证书通常后缀是 crt 或 pem 的证书文件,一般收到CA签发的证书也是这个格式的,使用文件编辑器打开 server.xml ,这个文件在tomcat 目录下面的 conf 目录下 ,例如你的tomcat 目录是在 c:\tomcat8 ,那么server.xml 文件就是在

C:\tomcat8\conf

最好先备份文件,然后打开文件后,在 <Service name=”Catalina”> 下面添加

  <Connector
protocol=”HTTP/1.1″
port=”443″ maxThreads=”200″
scheme=”https” secure=”true” SSLEnabled=”true”
SSLCertificateFile=”C:\tomcat7\conf\ssl\server.crt”
SSLCertificateKeyFile=”C:\tomcat7\conf\ssl\server.key”
SSLCertificateChainFile =”C:\tomcat7\conf\ssl\ca.crt”
SSLVerifyClient=”optional” SSLProtocol=”TLSv1+TLSv1.1+TLSv1.2″/>

 

将上面的证书文件,私钥文件,以及中级证书文件,改成你自己的文件路径

  • SSLCertificateFile=”域名证书路径”
  • SSLCertificateKeyFile=”私钥路径”
  • SSLCertificateChainFile =”中级证书路径”

然后保存文件,证书安装完毕,重启 tomcat ,让证书生效

 

2. 安装PFX格式证书文件

同样也是打开server.xml文件,在 <Service name=”Catalina”> 下面添加

<Connector port=”443″ protocol=”HTTP/1.1″
maxThreads=”150″
SSLEnabled=”true”
scheme=”https”
secure=”true”
keystoreFile=”PFX证书文件路径”
keystoreType=”PKCS12″
keystorePass=”PFX证书密码”
clientAuth=”false”
SSLProtocol=”TLSv1+TLSv1.1+TLSv1.2″ />

然后保存文件,重启 tomcat ,让SSL证书配置生效

3. 安装JKS格式证书文件

同样也是打开server.xml文件,在 <Service name=”Catalina”> 下面添加

  <Connector port=”443″ protocol=”HTTP/1.1″
maxThreads=”150″ SSLEnabled=”true” scheme=”https” secure=”true”
keystoreFile=”jks证书文件路径”
keystoreType=”JKS”
keystorePass=”jks证书密码”
clientAuth=”false”
SSLProtocol=”TLSv1+TLSv1.1+TLSv1.2″ />

然后保存文件,证书安装完毕,重启 tomcat ,让SSL证书配置生效

TOMCAT 安装PFX格式的SSL证书

这里我们介绍在TOMCAT 安装PFX格式的SSL证书 到服务器上,这种安装方式相对简单一些,适合各种版本的 Tomcat,如果你的证书格式是PEM格式的,要先转换为PFX格式的后才能安装

可以使用我们的在线证书格式转换工具
或者 使用如下OPENSSL命令

openssl pkcs12 -export -out certificate.pfx -inkey server.key -in server.crt -certfile ca.crt

其中 server.crt  是CA颁发的服务器证书,server.key 是私钥(Key),ca.crt是中级证书 , certificate.pfx  是转换后得到的证书,
有了certificate.pfx 这个证书后,下面就可以开始安装了,找到安装 Tomcat 目录下该文件server.xml , 默认是在Tomcat安装目录下的 conf 文件夹中。找到 <Connector port=”8443″ 标签,增加如下属性

keystoreFile=”certificate.pfx
keystoreType=”PKCS12″
keystorePass=”certificate.pfx证书的密码”

其中/path/cert.pfx替换成你的证书所在位置,keystorePass是pfx格式证书的密码。
修改后:

<Connector port=”8443″ protocol=”HTTP/1.1″
maxThreads=”150″ SSLEnabled=”true” scheme=”https” secure=”true”
keystoreFile=”/path/certificate.pfx
keystoreType=”PKCS12″
keystorePass=”certificate.pfx证书的密码”
clientAuth=”false”
sslProtocol=”TLS”
ciphers=”TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_128_GCM_SHA256,
TLS_RSA_WITH_AES_256_GCM_SHA384,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA,
SSL_RSA_WITH_3DES_EDE_CBC_SHA” />

修改完成,重启tomcat 就可以了。

Pem证书换成tomcat使用的keystore和安装

1. 把密钥和证书转换为PKCS12格式的证书

首先我们要把pem格式的密钥和证书文件转换成Java keystore 能够处理的格式,在这里我们转换为PKCS12格式 ,请运行以下命令

openssl pkcs12 -export -in yourcert.crt -inkey yourkey.key -out newcert.p12 -name tomcat -chain -CAfile ca.crt

运行命令后,请按照提示输入一个你可以记得住的密码。
关于这行命令的说明:

a. yourcert.crt CA颁发的SSL证书,yourkey.key是pem格式的密钥,newcert.p12是转换后的PKCS12格式证书。
b. tomcat tomcat通过这个别名在keystore搜索对应的证书应用到网站上。
c. ca.crt 是中级证书和根证书的合并文件,这样才能保证完整的证书链。

2. 导入PKCS12格式的证书和密钥 得到Java keystore

keytool -importkeystore -deststorepass <a_password_for_your_java_keystore> -destkeypass <a_password_for_the_key_in_the_keystore> -destkeystore tomcat.keystore -srckeystore <exported_private_key_and_cert.p12> -srcstoretype PKCS12 -srcstorepass <the_password_I_told_you_to_remember> -alias tomcat

说明:

运行命令的时候请不要包含任何括号<>;
<a_password_for_your_java_keystore> 这里替换成你自己的密码;
<a_password_for_the_key_in_the_keystore> 这里替换成你自己的密码 如果担心混淆, 可以都设置成相同的密码;
<exported_private_key_and_cert.p12> 刚才在第一步生成的PKCS12格式文件;
<the_password_I_told_you_to_remember> 刚才在第一步设置的密码;

通过这一步我们会生成keystore文件: tomcat.keystore

 

3. 导入中级证书 根证书

keytool -import -alias intermediate1 -keystore tomcat.keystore -trustcacerts -file intermediate1.crt

如果有多个中级证书 请导入其他的中级证书,

keytool -import -alias intermediate2 -keystore tomcat.keystore -trustcacerts -file intermediate2.crt

4. 把在第二步生成的tomcat.keystore 移动到适合保存该文件的目录,

我们将在下一步的配置文件中要引用这个文件。比如 /usr/local/keystore/tomcat.keystore

 

5. 配置tomcat让他能够使用我们新生成的keystore

在tomcat安装目录下的conf文件夹内找到server.xml ,编辑该文件,找到 SSL connector 标签,参考下面的设置做相应的修改。比如要使用的端口 、keystore存放的目录 ,keystore的密码 ,(其他参数的如果请参考相关文档做修改,其他参数如果不明白,请保留默认的数值就可以了)

<Connector port=”8443″
maxThreads=”200″
scheme=”https”
secure=”true”
SSLEnabled=”true”
keystoreFile=”/usr/local/keystore/tomcat.keystore”
keystorePass=”123456789″
clientAuth=”false”
sslProtocol=”TLS”/>

重启tomcat  使SSL证书生效

tomcat http跳转到https

首先确认网站已经可以http 和https方式访问,然后找到

tomcat/conf/web.xml

这个文件,在这个文件里面的

</welcome-file-list>

后面加上如下代码

<login-config>
<!– Authorization setting for SSL –>
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-onlyArea</realm-name>
</login-config>
<security-constraint>
<!– Authorization setting for SSL –>
<web-resource-collection >
<web-resource-name>SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>

然后重启tomcat

 

IIS服务器证书SSL部署

这里介绍在IIS服务器上导入PFX格式的SSL证书,并绑定证书到对应的站点,重启IIS,让IIS服务器SSL证书部署生效,实现网站从HTTPS升级到HTTPS

如果你得到的证书文件是CRT 或 PEM后缀的证书以及一个私钥文件,您需要先转换成PFX格式的证书后才能进行下一步安装

打开 IIS面板,点击右侧的“导入”

 

选择要导入的PFX证书,输入证书密码,点击确定

证书导入后,我们可以看到刚刚导入的证书信息

找到要安装证书的站点,点击右侧菜单的 “绑定”,在弹出的窗口中点击添加 ,

类型:HTTPS
端口:一般使用443端口
主机名:填写网站域名
选择:刚才导入的证书

 

服务器上只有一个IP地址,要绑定多个证书,该如何处理?

第一个网站绑定证书时,“需要服务器名称指示”这里不打勾,绑定第二个证书时候,这里打勾

 

重启网站,让SSL证书生效

首先 通过IIS的UI界面把SSL证书安装在第一个主机头上.

接着在IIS管理器的左侧找到你要安装SSL证书的站点,然后点击右侧的“绑定” ,接着点击添加,选择类型为 https 端口为443 ,SSL证书为刚才所填写的有好名称的证书。

然后点击确定,

证书安装到第一个网站后,其他网站的证书要通过命令方式安装 ,打开命令行窗口 ,进入 C:\Windows\System32\Inetsrv\

cd C:\Windows\System32\Inetsrv\

然后运行以下命令

appcmd set site /site.name:”<IISSiteName>” /+bindings.[protocol=’https’,bindingInformation=’*:443:<hostHeaderValue>’]

其中 <IISSiteName> 是IIS左侧列表对应的主机名称 , <hostHeaderValue> 是主机头对应的域名

iis7_multidomains_ssl

 

IIS http强制重定向到https

首先安装 URL Rewrite 模块 ,下载网址

http://www.iis.net/downloads/microsoft/url-rewrite

安装完成后, 在网站根目录下建立web.config 文件,文件内容如下

<?xml version=”1.0″ encoding=”UTF-8″?>
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name=”HTTP/S to HTTPS Redirect” enabled=”true” stopProcessing=”true”>
<match url=”(.*)” />
<conditions logicalGrouping=”MatchAny”>
<add input=”{SERVER_PORT_SECURE}” pattern=”^0$” />
</conditions>
<action type=”Redirect” url=”https://{HTTP_HOST}{REQUEST_URI}” redirectType=”Permanent” />
</rule>
</rules>
</rewrite>
</system.webServer>
</configuration>

即可实现每次用户只要在浏览器打开www.abc.com 即自动跳转到https://www.abc.com

 

Apache安装SSL证书教程

介绍如何在apache 安装配置SSL证书,以及相关注意事项

准备所需文件

安装SSL证书到Apache服务器上, 我们需要3个文件,进入你的证书详情页去下载证书,解压后有一个 apache 文件夹,里面有这2个文件,分别是 服务器证书 server.crt 和中级证书 ca.crt 。第三个需要的文件是私钥,这是你提交订单前生成CSR的时候生成的,如果你在提交订单时候选择系统生成CSR的,请检查邮箱,有一封邮件主题是 “订单编号xxxx的CSR和私钥“的邮件,下载server.key 这个附件,这个文件就是私钥。

(1) . 服务器证书 server.crt;
(2) . 中级证书 ca.crt;
(3) . 私钥(Key) server.key;

 

配置Apache

参考下面的代码,在Apache目录下的 httpd.conf 文件增加一个虚拟主机

<VirtualHost *:443>

SSLEngine on
SSLCertificateKeyFile   /etc/ssl/server.key
SSLCertificateFile    /etc/ssl/server.crt
SSLCertificateChainFile     /etc/ssl/ca.crt

SSLProtocol             All -SSLv2 -SSLv3
SSLCipherSuite          ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
SSLHonorCipherOrder     on
SSLCompression          off
SSLSessionTickets       off

……..

</VirtualHost>

然后保存。重启Apache

 

/etc/init.d/httpd restart

Apache重定向http到https

在Apache服务器上,让安装了SSL证书的网站默认使用https访问网站,只需在网站目录下面的.htaccess 文件加上下面几行代码:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

如果你的网站上面没有.htaccess文件, 你可以自己建立一个,然后将上面的代码复制过去即可。

如果你只是想让某个页面强制使用https访问,如访问 https://www.sslgood.com/123.html 自动跳转到  https://www.sslgood.com/123.html  可以参考如下代码

RewriteEngine On
RewriteRule ^123\.html$ https://www.sslgood.com/123.html [R=301,L]

Apache的SSL证书安全与兼容性设置

禁用 SSLv2 and SSLv3

SSLProtocol All -SSLv2 -SSLv3

如果Apache 2.2.24+ 以上版本  添加以下代码

 

SSLCompression off

使用安全的Cipher Suite

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

 

如果想兼容XP/IE6 ,请使用以下的 Cipher Suite

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4

 

Forward Secrecy & Diffie Hellman Ephemeral Parameters ,如果你用的 Apache 2.4.8以上  OpenSSL 1.0.2 或以上版本,可以运行一下命令

cd /etc/ssl/certs
openssl dhparam -out dhparam.pem 4096

然后将以下代码添加到网站配置文件

SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

根据你的apache版本不同, 将代码添加到apache的网站配置文件里面, 参考下面的例子

<VirtualHost *:443>
ServerAdmin webmaster@example.com
DocumentRoot "/home/sslgood"
ServerName www.sslgood.com
SSLEngine on
SSLCertificateKeyFile /usr/local/httpd/sslgood.key
SSLCertificateFile /usr/local/httpd/sslgood.crt
SSLCertificateChainFile /usr/local/httpd/sslgood.bundle

####///////////////////SSL安全设置代码 开始//////
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"
SSLHonorCipherOrder     on
SSLCompression off
SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
#####//////////////////SSL安全设置代码 结束//////////

......
</VirtualHost>

 

Nginx安装SSL证书

1.准备所需文件

安装SSL证书到nginx服务器上, 需要两个文件:

证书文件 server.crt :请登录控制台,后下载证书,把下载的压缩包解压,进入nginx这个文件夹,里面有server.crt 这个证书文件,这个文件里面包含有服务器证书和中级证书。

私钥 server.key :这是你提交订单前生成CSR的时候生成的,如果你在提交订单时候选择系统生成CSR的,请检查邮箱,有一封邮件主题是 “订单编号xxxx的CSR和私钥”的邮件,下载server.key 这个附件,这个文件就是私钥。

 

2.配置Ngnix

生成更强的DHE参数 ,这里将生成一个文件,文件位于  /etc/nginx/ssl/dhparam.pem  ,在最下面的nginx配置中,我们将使用这个文件

cd /etc/nginx/ssl
openssl dhparam -out dhparam.pem 4096

找到Nginx安装目录下的conf目录,打开 nginx.conf
在任何一个

server{
……..
}

的下方添加以下代码,注意将其中的证书和私钥文件内容改成你自己的。

# 重定向 http 到  https
server {
    listen 80;

    location / {
        return 301 https://$host$request_uri;
    }
}

server {
    listen 443 ssl http2;

    server_name www.sslgood.com sslgood.com ;
    index index.php;
    root  /home/wwwroot/sslgood.com;    

    ssl_certificate /etc/nginx/ssl/server-bundle.crt;   #证书文件路径
    ssl_certificate_key /etc/nginx/ssl/server.key;   #私钥文件路径
    ssl_session_timeout 1d;
    ssl_session_cache shared:MozSSL:10m;  # about 40000 sessions
    ssl_session_tickets off;


    ssl_dhparam /etc/nginx/ssl/dhparam.pem;

    # intermediate configuration
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;

    #### 下面这部分不是必须的,可以选择是否使用 #####

    # HSTS:作用是 让浏览器强制跳转到 https (需要用到nginx 模块 :ngx_http_headers_module ) (63072000秒)
    add_header Strict-Transport-Security "max-age=63072000" always;

    # OCSP stapling  ,有些浏览器会访问CA网站验证证书的有效性,使用 OCSP stapling 可以让这个验证在服务器端完成,提高访客端的访问速度
    ssl_stapling on;
    ssl_stapling_verify on;


}

然后保存。运行

nginx -s reload

重载入 nginx 配置文件,让配置生效

Nginx重定向http到https

安装完SSL证书后,网站默认还是使用http的方式访问,如果想要让用户在浏览器输入域名后自动跳转到https的方式访问网站,以下是nginx主机的配置方法:

server
    {
        listen 80;
        location / {
           return 301 https://$host$request_uri;
        }
      

    }

添加以上代码后,然后重启nginx 即可

Nginx的SSL证书安全与兼容性设置

禁用 SSLv2 和 SSLv3

这两个协议都是不安全的, 我们应该在服务器上禁用这两个协议。添加一下代码到网站的配置文件, lnmp的网站配置文件位于 /usr/local/nginx/conf/vhost 目录

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

使用安全的Cipher Suite

将以下代码放在网站的配置文件里面

ssl_ciphers ‘EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH’;

以上设置不支持Winxp/IE6 ,如果你想网站同时Winxp/IE6的话可以使用使用以下的Cipher Suite

ssl_ciphers “EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4”;

额外的安全设置,请添加如下代码

ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;

 

Forward Secrecy & Diffie Hellman Ephemeral Parameters
运行以下代码,这段代码运行的时间会比较长,请耐心等待

cd /etc/ssl/certs
openssl dhparam -out dhparam.pem 4096

然后在nginx的网站配置文件中加入如下代码

ssl_dhparam /etc/ssl/certs/dhparam.pem;

 

添加以上代码后的网址配置文件大致如下

server
    {
        listen 443 ssl http2;
        server_name www.sslgood.com sslgood.com;
        index index.html index.htm index.php default.html default.htm default.php;
        root  /home/wwwroot/sslgood.com;
 
        ssl on;
        ssl_certificate cheapssl.crt;
        ssl_certificate_key cheapssl.key;
 
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
 
        ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
 
        ssl_prefer_server_ciphers on;
        ssl_session_cache shared:SSL:10m;
 
        ssl_dhparam /etc/ssl/certs/dhparam.pem;
 
......
 
}

 

Nginx 反代 以及SSL安装设置

server {

    listen 443 ssl;
    server_name www.sslgood.com;

    ssl_certificate           /etc/nginx/cert.crt;
    ssl_certificate_key       /etc/nginx/cert.key;


    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

    access_log            /var/log/nginx/sslgood.com.access.log;

    location / {

      proxy_set_header        Host $host;
      proxy_set_header        X-Real-IP $remote_addr;
      proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header        X-Forwarded-Proto $scheme;

      proxy_pass          http://localhost:8080;
      proxy_read_timeout  90;

      proxy_redirect      http://localhost:8080 https://www.sslgood.com;
    }
  }