五分鐘搞定HTTPS配置，二哥手把手教-創(chuàng)新互聯(lián)

01、關(guān)于 FreeSSL.cn

FreeSSL.cn 是一個(gè)免費(fèi)提供 HTTPS 證書(shū)申請(qǐng)、HTTPS 證書(shū)管理和 HTTPS 證書(shū)到期提醒服務(wù)的網(wǎng)站，旨在推進(jìn) HTTPS 證書(shū)的普及與應(yīng)用，簡(jiǎn)化證書(shū)申請(qǐng)的流程。

創(chuàng)新互聯(lián)"三網(wǎng)合一"的企業(yè)建站思路。企業(yè)可建設(shè)擁有電腦版、微信版、手機(jī)版的企業(yè)網(wǎng)站。實(shí)現(xiàn)跨屏營(yíng)銷(xiāo)，產(chǎn)品發(fā)布一步更新，電腦網(wǎng)絡(luò)+移動(dòng)網(wǎng)絡(luò)一網(wǎng)打盡，滿(mǎn)足企業(yè)的營(yíng)銷(xiāo)需求！創(chuàng)新互聯(lián)具備承接各種類(lèi)型的成都網(wǎng)站制作、成都做網(wǎng)站、外貿(mào)營(yíng)銷(xiāo)網(wǎng)站建設(shè)項(xiàng)目的能力。經(jīng)過(guò)十多年的努力的開(kāi)拓，為不同行業(yè)的企事業(yè)單位提供了優(yōu)質(zhì)的服務(wù)，并獲得了客戶(hù)的一致好評(píng)。

當(dāng)然了，我看重的不是免費(fèi)，而是 FreeSSL 使用起來(lái)非常人性化。我是一個(gè)計(jì)算機(jī)常識(shí)非常薄弱的程序員（羞愧一下），但通過(guò) FreeSSL，我竟然可以獨(dú)自完成 Tomcat 的 HTTPS 配置！

很多年以前，公司要做華夏銀行的接口對(duì)接，需要 HTTPS 訪問(wèn)，大概花了 3000 塊買(mǎi)的證書(shū)，最后證書(shū)還有問(wèn)題，HTTPS 也沒(méi)搞定?？傊?，坑的很！

FreeSSL.cn 有很大的不同，申請(qǐng)非常便捷，優(yōu)點(diǎn)很多，值得推薦一波。畢竟再也不用郵件、電話(huà)各種聯(lián)系了（也許時(shí)代進(jìn)步了）。

• 100% 永久免費(fèi)；這要感謝 Let's Encrypt 與 TrustAsia 提供的免費(fèi) SSL 證書(shū)。

• 在 HTTPS 證書(shū)到期前，F(xiàn)reeSSL.cn 會(huì)及時(shí)地提醒更換證書(shū)，免費(fèi)的服務(wù)。

• 私鑰不在網(wǎng)絡(luò)中傳播，確保 HTTPS 證書(shū)的安全。

02、使用 ?FreeSSL 申請(qǐng)證書(shū)

第一步，填寫(xiě)域名，點(diǎn)擊「創(chuàng)建免費(fèi)的 SSL 證書(shū)」

第二步，填寫(xiě)郵箱，點(diǎn)擊「創(chuàng)建」

1）證書(shū)類(lèi)型默認(rèn)為 RSA

RSA 和 ECC 有什么區(qū)別呢？可以通過(guò)下面幾段文字了解一下。

HTTPS 通過(guò) TLS 層和證書(shū)機(jī)制提供了內(nèi)容加密、身份認(rèn)證和數(shù)據(jù)完整性三大功能，可以有效防止數(shù)據(jù)被監(jiān)聽(tīng)或篡改，還能抵御 MITM（中間人）***。TLS 在實(shí)施加密過(guò)程中，需要用到非對(duì)稱(chēng)密鑰交換和對(duì)稱(chēng)內(nèi)容加密兩大算法。

對(duì)稱(chēng)內(nèi)容加密強(qiáng)度非常高，加解密速度也很快，只是無(wú)法安全地生成和保管密鑰。在 TLS 協(xié)議中，應(yīng)用數(shù)據(jù)都是經(jīng)過(guò)對(duì)稱(chēng)加密后傳輸?shù)?，傳輸中所使用的?duì)稱(chēng)密鑰，則是在握手階段通過(guò)非對(duì)稱(chēng)密鑰交換而來(lái)。常見(jiàn)的 AES-GCM、ChaCha20-Poly1305，都是對(duì)稱(chēng)加密算法。

非對(duì)稱(chēng)密鑰交換能在不安全的數(shù)據(jù)通道中，產(chǎn)生只有通信雙方才知道的對(duì)稱(chēng)加密密鑰。目前最常用的密鑰交換算法有 RSA 和 ECDHE：RSA 歷史悠久，支持度好，但不支持 PFS（Perfect Forward Secrecy）；而 ECDHE 是使用了 ECC（橢圓曲線(xiàn)）的 DH（Diffie-Hellman）算法，計(jì)算速度快，支持 PFS。

2）驗(yàn)證類(lèi)型默認(rèn)為 DNS

DNS 和文件驗(yàn)證有什么區(qū)別呢？我們?cè)賮?lái)一起了解下。

首先，我們需要明白一點(diǎn)，CA（Certificate Authority，證書(shū)頒發(fā)機(jī)構(gòu)） 需要驗(yàn)證我們是否擁有該域名，這樣才給我們頒發(fā)證書(shū)。

文件驗(yàn)證（HTTP）：CA 將通過(guò)訪問(wèn)特定 URL 地址來(lái)驗(yàn)證我們是否擁有域名的所有權(quán)。因此，我們需要下載給定的驗(yàn)證文件，并上傳到您的服務(wù)器。

DNS 驗(yàn)證：CA 將通過(guò)查詢(xún) DNS 的 TXT 記錄來(lái)確定我們對(duì)該域名的所有權(quán)。我們只需要在域名管理平臺(tái)將生成的 TXT 記錄名與記錄值添加到該域名下，等待大約 1 分鐘即可驗(yàn)證成功。

所以，如果對(duì)服務(wù)器操作方便的話(huà)，可以選擇文件驗(yàn)證；如果對(duì)域名的服務(wù)器操作比較方便的話(huà)，可以選擇 DNS 驗(yàn)證。如果兩個(gè)都方便的話(huà)，請(qǐng)隨意選啦。

3）CSR生成默認(rèn)為離線(xiàn)生成

離線(xiàn)生成、瀏覽器生成 和 我有 CSR 又有什么區(qū)別呢？來(lái)，我們繼續(xù)了解一下。

離線(xiàn)生成 ^推薦!!!：私鑰在本地加密存儲(chǔ)，更安全；公鑰自動(dòng)合成，支持常見(jiàn)證書(shū)格式轉(zhuǎn)換，方便部署；支持部分 WebServer 的一鍵部署，非常便捷。

離線(xiàn)生成的時(shí)候，需要先安裝 KeyManager，可以提供安全便捷的 SSL 證書(shū)申請(qǐng)和管理。下載地址如下：
https://keymanager.org/

Windows 的話(huà)，安裝的時(shí)候要選擇“以管理員身份運(yùn)行”。

瀏覽器生成：在瀏覽器支持 Web Cryptography 的情況下，會(huì)使用瀏覽器根據(jù)用戶(hù)的信息生成 CSR 文件。

Web Cryptography，網(wǎng)絡(luò)密碼學(xué)，用于在 Web 應(yīng)用程序中執(zhí)行基本加密操作的 JavaScript API。很多瀏覽器并不支持

我有 CSR：可以粘貼自己的 CSR，然后創(chuàng)建。

第三步，選擇離線(xiàn)生成，打開(kāi) KeyManager

填寫(xiě)密碼后點(diǎn)擊「開(kāi)始」，稍等片刻，出現(xiàn)如下界面。

第四步，返回瀏覽器，點(diǎn)擊「下一步」，出現(xiàn)如下界面。

第五步，下載文件，并上傳至服務(wù)器指定目錄下。

第六步，點(diǎn)擊「驗(yàn)證」，通過(guò)后，出現(xiàn)以下界面。

第七步，點(diǎn)擊「保存到KeyManager」，可以看到證書(shū)狀態(tài)變成了已頒發(fā)。

03、為 Tomcat 配置 jks 格式證書(shū)

第一步，導(dǎo)出證書(shū)。假如服務(wù)器選擇的 Tomcat，需要導(dǎo)出 Java keystone （簡(jiǎn)拼為 jks）格式的證書(shū)。

注意：私鑰的密碼在配置 Tomcat 的時(shí)候用到。

第二步，上傳證書(shū)至服務(wù)器。

第三步，配置 Tomcat 的 server.xml。

?<Connector?port="81"?protocol="HTTP/1.1"
????????????????????????maxThreads="250"?maxHttpHeaderSize="8192"?acceptCount="100"?connectionTimeout="60000"?keepAliveTimeout="200000"
????????????????????????redirectPort="8443"????????????
????????????????????????useBodyEncodingForURI="true"?URIEncoding="UTF-8"??
????????????????????????compression="on"?compressionMinSize="2048"?noCompressionUserAgents="gozilla,?traviata"???
????????????compressableMimeType="text/html,text/xml,application/xml,application/json,text/javascript,application/javascript,text/css,text/plain,text/json,image/png,image/gif"/>

<Connector
??protocol="org.apache.coyote.http11.Http11NioProtocol"
??port="443"?maxThreads="200"
??scheme="https"?secure="true"?SSLEnabled="true"
??keystoreFile="/home/backup/qingmiaokeji.cn.jks"?keystorePass="Chenmo"
??clientAuth="false"?sslProtocol="TLS"
useBodyEncodingForURI="true"?URIEncoding="UTF-8"??
????????????????????????compression="on"?compressionMinSize="2048"?noCompressionUserAgents="gozilla,?traviata"???
????????????compressableMimeType="text/html,text/xml,application/xml,application/json,text/javascript,application/javascript,text/css,text/plain,text/json,image/png,image/gif"
/>

其中 keystorePass 為導(dǎo)出證書(shū)時(shí)私鑰的加密密碼。

第四步，重啟 Tomcat，并在瀏覽器地址欄中輸入 https://qingmiaokeji.cn/ 進(jìn)行測(cè)試。

注意到?jīng)]，瀏覽器地址欄前面有一個(gè)綠色的安全鎖，這說(shuō)明 HTTPS 配置成功了！好了，為自己鼓個(gè)掌！

04、最后

你有沒(méi)有買(mǎi)個(gè)五分鐘的時(shí)間沙漏？如果超過(guò)五分鐘 HTTPS 還沒(méi)有配置成功，你過(guò)來(lái)揍我！

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線(xiàn)，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性?xún)r(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿(mǎn)足用戶(hù)豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)站標(biāo)題：五分鐘搞定HTTPS配置，二哥手把手教-創(chuàng)新互聯(lián)
分享鏈接：http://muchs.cn/article8/djheip.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設(shè)計(jì)、自適應(yīng)網(wǎng)站、App開(kāi)發(fā)、全網(wǎng)營(yíng)銷(xiāo)推廣、動(dòng)態(tài)網(wǎng)站、定制開(kāi)發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)