怎樣購買及安裝SSL安全證書

技術小胖子發表於2017-11-10

一、必要性

現在越來越多的網站都開始用安全連結HTTPS了。

HTTPS全稱HyperText Transfer Protocol over Secure Socket Layer初衷是為了保護資料安全。 近兩年Google、Baidu、Facebook 等這樣的網際網路巨頭不謀而合地開始大力推行 HTTPS 很多國內外的大型網際網路公司也都已經啟用了全站 HTTPS。

為鼓勵全球網站的 HTTPS 實現Google 甚至調整了搜尋引擎演算法讓採用 HTTPS 的網站在搜尋中排名更靠前。並且從 2017 年開始Chrome 瀏覽器已把採用 HTTP 協議的網站標記為不安全網站蘋果 App Store 中的所有應用也都必須使用 HTTPS 加密連線國內微信小程式也要求必須使用 HTTPS 協議新一代的 HTTP/2 協議的支援需以 HTTPS 為基礎。因此想必在不久的將來全網 HTTPS 勢在必行。

但是如果網站想使用 HTTPS 服務則必須為域名從數字證照授權機構CACertificate Authority申請相關的 SSL 證照。

名詞解釋

HTTPS全稱HyperText Transfer Protocol over Secure Socket Layer是以安全為目標的 HTTP 通道即 HTTP 的安全版。HTTPS 的安全基礎是 SSL/TLS它提供了身份驗證與加密通訊的方法現在被廣泛用於全球資訊網上安全敏感的通訊比如交易、支付等。
SSLSecure Socket Layer安全套接字層

SSL 由 Netscape 公司所研發用以保障在 Internet 上資料傳輸之安全利用資料加密 (Encryption) 技術可確保資料在網路上傳輸過程中不會被擷取。SSL 協議位於 TCP/IP 協議與各種應用層協議之間為資料通訊提供安全支援。
TLSTransport Layer Security傳輸層安全

傳輸層加密協議其前身是 SSL 協議 1999 年經過 IETFThe Internet Engineering Task Force 國際網際網路工程任務組 討論和規範後改名為 TLS。發展至今已經有 TLS 1.0、TLS 1.1、TLS 1.2 三個版本。TLS 1.3 改動會比較大還處於待發布階段目前使用最廣泛的是 TLS 1.1、TLS 1.2。
SSL 證照

SSL 證照就是遵守 SSL 協議的伺服器數字證照通過驗證域名、伺服器身份後由受信任的數字證照授權機構 CA 頒發具有伺服器身份驗證和資料傳輸加密等功能。
CA

數字證照授權機構 CACertificate Authority 是負責發放和管理數字證照的權威機構並作為電子商務交易中受信任的第三方承擔公鑰體系中公鑰的合法性檢驗的責任。
CSRCerificate Signing Request證照請求檔案

CSR 是製作 SSL 證照的必要檔案通常由 CA 機構自動生成使用者也可自己建立在生成 CSR 檔案 的同時也會生成私鑰由使用者自己保管使用者只需把 CSR 檔案提交給 CACA 使用其根證照私鑰對 CSR 檔案簽名即生成了使用者的證照。 
RSA

RSA 公鑰加密演算法是 1977 年由 Ron Rivest、Adi Shamir、Leonard Adleman 一起提出的它是第一個能同時用於加密和數字簽名的演算法從提出到現今經歷了各種攻擊的考驗能夠抵抗到目前為止已知的絕大多數密碼攻擊已被 ISO 推薦為公鑰資料加密標準
ECC

ECCElliptic Curves Cryptography橢圓曲線加密演算法也是一種公鑰加密演算法與主流的 RSA 演算法相比ECC 演算法可以使用較短的金鑰達到相同的安全程度其安全性更高、處理速度更快。其數學基礎是利用橢圓曲線上的有理點構成 Abel 加法群上橢圓離散對數的計算困難性。

域名型 SSL 證照DV SSL

即證照頒佈機構只對域名的所有者進行線上檢查通常是驗證域名下某個指定檔案的內容或者驗證與域名相關的某條 TXT 記錄比如訪問 [http|https]://www.domain.com/…/test.txt檔案內容 2016082xxxxx39w7b20nelfa或新增一條 TXT 記錄www.domain.com –> TXT –> 20170xxxxxqmkiby43hpvy8

企業型 SSL 證照OV SSL

是要購買者提交組織機構資料和單位授權信等在官方註冊的憑證證照頒發機構在簽發 SSL 證照前不僅僅要檢驗域名所有權還必須對這些資料的真實合法性進行多方查驗只有通過驗證的才能頒發 SSL 證照。

增強型 SSL 證照EV SSL

與其他 SSL 證照一樣都是基於 SSL/TLS 安全協議但是驗證流程更加具體詳細驗證步驟更多這樣一來證照所繫結的網站就更加的可靠、可信。它跟普通 SSL 證照的區別也是明顯的安全瀏覽器的位址列變綠如果是不受信的 SSL 證照則拒絕顯示如果是釣魚網站位址列則會變成紅色以警示使用者。

二、哪裡獲得

1.免費

2.購買

網上銷售ssl證照的網站很多價錢從幾百到幾千都有免費的ssl證照也有比如阿里雲又拍雲七牛都可以申請免費DV SSL證照。

下面列出幾個網址你可以瞭解更多。

https://common-buy.aliyun.com/?spm=5176.doc28542.2.4.qu1bdj&commodityCode=cas#/buy

https://developer.qiniu.com/ssl?source=baidu
https://portal.qiniu.com/certificate/apply

https://cloud.tencent.com/product/ssl?fromSource=gwzcw.232017.232017.232017

http://docs.upyun.com/cdn/ssl/

https://www.trustasia.com/?ref=yulian

下面貼出七牛的域名是在西部數碼在七牛申請了一個免費證照
怎樣購買及安裝SSL安全證照

怎樣購買及安裝SSL安全證照

三、如何安裝

證照服務 

證照服務 (Alibaba Cloud Certificates Service)在雲上籤發Symantec、GlobalSign、GeoTrust證照實現網站HTTPS化使網站可信防劫持、防篡改、防監聽。並對雲上證照進行統一生命週期管理簡化證照部署一鍵分發到雲上產品。

SSL數字證照Nginx配置部署指導(視訊)

https://help.aliyun.com/video_detail/54216.html?spm=5176.7854214.2.5.ljA96Z

下面分nginx,apache環境舉例。

oneinstack佈署的環境中的站點為例

修改nginx下的相應配置檔案。

怎樣購買及安裝SSL安全證照

怎樣購買及安裝SSL安全證照

修改apache下的相應配置檔案。

使用阿里雲免費SSL證照實現全站HTTPS化(文章)
https://segmentfault.com/a/1190000009220479

     本文轉自phpervip 51CTO部落格原文連結http://blog.51cto.com/phpervip/2050264如需轉載請自行聯絡原作者


相關文章