五分鐘搞定HTTPS配置，二哥手把手教

01、關(guān)于 FreeSSL.cn

FreeSSL.cn 是一個(gè)免費(fèi)提供 HTTPS 證書(shū)申請(qǐng)、HTTPS 證書(shū)管理和 HTTPS 證書(shū)到期提醒服務(wù)的網(wǎng)站，旨在推進(jìn) HTTPS 證書(shū)的普及與應(yīng)用，簡(jiǎn)化證書(shū)申請(qǐng)的流程。

博白網(wǎng)站制作公司哪家好，找成都創(chuàng)新互聯(lián)公司！從網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、APP開(kāi)發(fā)、響應(yīng)式網(wǎng)站開(kāi)發(fā)等網(wǎng)站項(xiàng)目制作，到程序開(kāi)發(fā)，運(yùn)營(yíng)維護(hù)。成都創(chuàng)新互聯(lián)公司于2013年成立到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來(lái)保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選成都創(chuàng)新互聯(lián)公司。

當(dāng)然了，我看重的不是免費(fèi)，而是 FreeSSL 使用起來(lái)非常人性化。我是一個(gè)計(jì)算機(jī)常識(shí)非常薄弱的程序員（羞愧一下），但通過(guò) FreeSSL，我竟然可以獨(dú)自完成 Tomcat 的 HTTPS 配置！

很多年以前，公司要做華夏銀行的接口對(duì)接，需要 HTTPS 訪問(wèn)，大概花了 3000 塊買(mǎi)的證書(shū)，最后證書(shū)還有問(wèn)題，HTTPS 也沒(méi)搞定?？傊?，坑的很！

cdn.xitu.io/2019/5/9/16a9b200d2d271cf?w=711&h=504&f=png&s=29239">

FreeSSL.cn 有很大的不同，申請(qǐng)非常便捷，優(yōu)點(diǎn)很多，值得推薦一波。畢竟再也不用郵件、電話各種聯(lián)系了（也許時(shí)代進(jìn)步了）。

• 100% 永久免費(fèi)；這要感謝 Let's Encrypt 與 TrustAsia 提供的免費(fèi) SSL 證書(shū)。

• 在 HTTPS 證書(shū)到期前，F(xiàn)reeSSL.cn 會(huì)及時(shí)地提醒更換證書(shū)，免費(fèi)的服務(wù)。

• 私鑰不在網(wǎng)絡(luò)中傳播，確保 HTTPS 證書(shū)的安全。

02、使用 ?FreeSSL 申請(qǐng)證書(shū)

第一步，填寫(xiě)域名，點(diǎn)擊「創(chuàng)建免費(fèi)的 SSL 證書(shū)」

第二步，填寫(xiě)郵箱，點(diǎn)擊「創(chuàng)建」

1）證書(shū)類型默認(rèn)為 RSA

RSA 和 ECC 有什么區(qū)別呢？可以通過(guò)下面幾段文字了解一下。

HTTPS 通過(guò) TLS 層和證書(shū)機(jī)制提供了內(nèi)容加密、身份認(rèn)證和數(shù)據(jù)完整性三大功能，可以有效防止數(shù)據(jù)被監(jiān)聽(tīng)或篡改，還能抵御 MITM（中間人）***。TLS 在實(shí)施加密過(guò)程中，需要用到非對(duì)稱密鑰交換和對(duì)稱內(nèi)容加密兩大算法。

對(duì)稱內(nèi)容加密強(qiáng)度非常高，加解密速度也很快，只是無(wú)法安全地生成和保管密鑰。在 TLS 協(xié)議中，應(yīng)用數(shù)據(jù)都是經(jīng)過(guò)對(duì)稱加密后傳輸?shù)模瑐鬏斨兴褂玫膶?duì)稱密鑰，則是在握手階段通過(guò)非對(duì)稱密鑰交換而來(lái)。常見(jiàn)的 AES-GCM、ChaCha20-Poly1305，都是對(duì)稱加密算法。

非對(duì)稱密鑰交換能在不安全的數(shù)據(jù)通道中，產(chǎn)生只有通信雙方才知道的對(duì)稱加密密鑰。目前最常用的密鑰交換算法有 RSA 和 ECDHE：RSA歷史悠久，支持度好，但不支持 PFS（Perfect Forward Secrecy）；而 ECDHE 是使用了 ECC（橢圓曲線）的 DH（Diffie-Hellman）算法，計(jì)算速度快，支持 PFS。

2）驗(yàn)證類型默認(rèn)為 DNS

DNS和文件驗(yàn)證有什么區(qū)別呢？我們?cè)賮?lái)一起了解下。

首先，我們需要明白一點(diǎn)，CA（Certificate Authority，證書(shū)頒發(fā)機(jī)構(gòu)） 需要驗(yàn)證我們是否擁有該域名，這樣才給我們頒發(fā)證書(shū)。

文件驗(yàn)證（HTTP）：CA 將通過(guò)訪問(wèn)特定 URL 地址來(lái)驗(yàn)證我們是否擁有域名的所有權(quán)。因此，我們需要下載給定的驗(yàn)證文件，并上傳到您的服務(wù)器。

DNS 驗(yàn)證：CA 將通過(guò)查詢 DNS 的 TXT 記錄來(lái)確定我們對(duì)該域名的所有權(quán)。我們只需要在域名管理平臺(tái)將生成的 TXT 記錄名與記錄值添加到該域名下，等待大約 1 分鐘即可驗(yàn)證成功。

所以，如果對(duì)服務(wù)器操作方便的話，可以選擇文件驗(yàn)證；如果對(duì)域名的服務(wù)器操作比較方便的話，可以選擇 DNS 驗(yàn)證。如果兩個(gè)都方便的話，請(qǐng)隨意選啦。

3）CSR生成默認(rèn)為離線生成

離線生成、瀏覽器生成和 我有 CSR又有什么區(qū)別呢？來(lái)，我們繼續(xù)了解一下。

離線生成^推薦!!!：私鑰在本地加密存儲(chǔ)，更安全；公鑰自動(dòng)合成，支持常見(jiàn)證書(shū)格式轉(zhuǎn)換，方便部署；支持部分 WebServer 的一鍵部署，非常便捷。

離線生成的時(shí)候，需要先安裝 KeyManager，可以提供安全便捷的 SSL 證書(shū)申請(qǐng)和管理。下載地址如下：
https://keymanager.org/

Windows 的話，安裝的時(shí)候要選擇“以管理員身份運(yùn)行”。

瀏覽器生成：在瀏覽器支持 Web Cryptography 的情況下，會(huì)使用瀏覽器根據(jù)用戶的信息生成 CSR 文件。

Web Cryptography，網(wǎng)絡(luò)密碼學(xué)，用于在 Web 應(yīng)用程序中執(zhí)行基本加密操作的 JavaScript API。很多瀏覽器并不支持

我有 CSR：可以粘貼自己的 CSR，然后創(chuàng)建。

第三步，選擇離線生成，打開(kāi) KeyManager

填寫(xiě)密碼后點(diǎn)擊「開(kāi)始」，稍等片刻，出現(xiàn)如下界面。

第四步，返回瀏覽器，點(diǎn)擊「下一步」，出現(xiàn)如下界面。

第五步，下載文件，并上傳至服務(wù)器指定目錄下。

第六步，點(diǎn)擊「驗(yàn)證」，通過(guò)后，出現(xiàn)以下界面。

第七步，點(diǎn)擊「保存到KeyManager」，可以看到證書(shū)狀態(tài)變成了已頒發(fā)。

03、為 Tomcat 配置 jks 格式證書(shū)

第一步，導(dǎo)出證書(shū)。假如服務(wù)器選擇的 Tomcat，需要導(dǎo)出 Java keystone （簡(jiǎn)拼為 jks）格式的證書(shū)。

注意：私鑰的密碼在配置 Tomcat 的時(shí)候用到。

第二步，上傳證書(shū)至服務(wù)器。

第三步，配置 Tomcat 的 server.xml。

?<Connector?port="81"?protocol="HTTP/1.1"
????????????????????????maxThreads="250"?maxHttpHeaderSize="8192"?acceptCount="100"?connectionTimeout="60000"?keepAliveTimeout="200000"
????????????????????????redirectPort="8443"????????????
????????????????????????useBodyEncodingForURI="true"?URIEncoding="UTF-8"??
????????????????????????compression="on"?compressionMinSize="2048"?noCompressionUserAgents="gozilla,?traviata"???
????????????compressableMimeType="text/html,text/xml,application/xml,application/json,text/javascript,application/javascript,text/css,text/plain,text/json,image/png,image/gif"/>

<Connector
??protocol="org.apache.coyote.http11.Http11NioProtocol"
??port="443"?maxThreads="200"
??scheme="https"?secure="true"?SSLEnabled="true"
??keystoreFile="/home/backup/qingmiaokeji.cn.jks"?keystorePass="Chenmo"
??clientAuth="false"?sslProtocol="TLS"
useBodyEncodingForURI="true"?URIEncoding="UTF-8"??
????????????????????????compression="on"?compressionMinSize="2048"?noCompressionUserAgents="gozilla,?traviata"???
????????????compressableMimeType="text/html,text/xml,application/xml,application/json,text/javascript,application/javascript,text/css,text/plain,text/json,image/png,image/gif"
/>

其中 keystorePass 為導(dǎo)出證書(shū)時(shí)私鑰的加密密碼。

第四步，重啟 Tomcat，并在瀏覽器地址欄中輸入 https://qingmiaokeji.cn/ 進(jìn)行測(cè)試。

注意到?jīng)]，瀏覽器地址欄前面有一個(gè)綠色的安全鎖，這說(shuō)明 HTTPS 配置成功了！好了，為自己鼓個(gè)掌！

04、最后

你有沒(méi)有買(mǎi)個(gè)五分鐘的時(shí)間沙漏？如果超過(guò)五分鐘 HTTPS 還沒(méi)有配置成功，你過(guò)來(lái)揍我！

網(wǎng)頁(yè)名稱：五分鐘搞定HTTPS配置，二哥手把手教
文章鏈接：http://muchs.cn/article16/ijsgdg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站收錄、全網(wǎng)營(yíng)銷(xiāo)推廣、關(guān)鍵詞優(yōu)化、做網(wǎng)站、用戶體驗(yàn)、響應(yīng)式網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)