操作准则| SSL证书|帮助中心|网站站长之家

选择从相应格式证书下载的文件，将其解压缩以获取相应文件，

以下提供了四种服务器证书安装方法的示例:

推荐: openssl版本1.1.0f +

Httpd版本（即apache）. 建议: 2.2.34 +

单击“下载”（选择PEM_Apache）以获取zip压缩包. 减压后，有三个文件，分别是cer，crt和密钥后缀（获取证书文件，例如和私钥文件）

该文件包括一部分证书代码“ ----- BEGIN CERTIFICATE -----”和“ ----- END CERTIFICATE -----”，

该文件包括一部分证书代码“ ----- BEGIN CERTIFICATE -----”和“ ----- END CERTIFICATE -----”，

文件包含一部分私钥代码“ ----- BEGIN RSA PRIVATE KEY -----”和“ ----- END RSA PRIVATE KEY -----”.

在Apache根目录中编辑conf / httpd.conf文件

找到#LoadModule ssl_module modules / mod_ssl.so和#Include conf / extra / httpd-ssl.conf，并删除前面的#注释；

在Apache根目录中编辑conf / extra / httpd-ssl.conf文件并修改以下内容:

                            <VirtualHost www.domain.com:443>
                            DocumentRoot "/var/www/html"
                            ServerName www.domain.com
                            SSLEngine on
                            SSLCertificateFile /usr/local/apache/conf/www.domain.com.cer
                            SSLCertificateKeyFile /usr/local/apache/conf/www.domain.com.key
                            SSLCertificateChainFile /usr/local/apache/conf/www.domain.com.crt
                            </VirtualHost>

配置完成后，重新启动Apache以使用它进行访问.

注意:

配置文件参数说明

启用SSLEngine

启用SSL功能

SSLCertificateFile

证书文件

SSLCertificateKeyFile

私钥文件

SSLCertificateChainFile

证书链文件

在Apache根目录中编辑conf / httpd.conf文件

找到LoadModule rewrite_module modules / mod_rewrite.so并删除先前的#

转到80（http）虚拟主机进行配置

RewriteEngine on

RewriteCond％{SERVER_PORT}！^ 443 $

RewriteRule（. *）％{SERVER_NAME} / $ 1 [R]

https的端口不受限制（允许防火墙，端口转发正常）后，经过测试，其等级达到6以上，在安全性和兼容性方面更好.

证书下载选择pem（nginx SLB）格式，将获得的压缩包解压缩后，获得SSL证书文件1_和私钥文件2 _，

将域名的证书文件1_和私钥文件2_保存到同一目录，例如/ usr / local / nginx / conf目录.

按如下所示更新Nginx根目录中的conf / nginx.conf文件:

server{
                            listen 443;
                            server_namewww.domain.com;//填写绑定证书的域名
                            ssl on;
                            ssl_certificate 1_www.domain.com.crt;
                            ssl_certificate_key 2_www.domain.com.key;
                            ssl_session_timeout 5m;
                            ssl_protocols TLSv1 TLSv1.1TLSv1.2;#按照这个协议配置
                            ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!R:!DHE;//按照这个套件配置
                            ssl_prefer_server_ciphers  on;
                            location / {
                            root html;//站点目录
                            index index.html index.htm;
		}
	}

配置完成后，首先使用bin / nginx -t测试配置是否正确. 如果正确ssl证书，请重新启动nginx. 您可以参观.

注意:

配置文件参数说明

听443

SSL访问端口号是443

打开ssl

启用SSL功能

ssl_certificate

证书文件

ssl_certificate_key

私钥文件

ssl_protocols

使用的协议

ssl_ciphers

配置加密套件，并遵循openssl标准

对于不知道可以通过https访问网站的用户，请让服务器自动将http请求重定向到https.

如果在服务器端进行配置，则可以在页面中添加js脚本，也可以在后端程序中编写重定向，当然，也可以跳转到Web服务器. Nginx支持重写（只要在编译过程中未删除pcre）

添加重写^（. *）$ host $ 1永久；到http服务器；

这将允许80个传入请求重定向到https.

在IIS文件夹中获取SSL证书文件.

1. 打开IIS服务管理器，单击计算机名称，双击“服务器证书”

2. 双击打开服务器证书后，单击右侧的导入

3. 选择证书文件. 如果在输入证书申请时需要填写私钥密码，则需要输入密码. 否则ssl证书，请在文件夹中输入密码文件keystorePass.txt的密码内容.

4. 单击网站下方的站点名称，然后单击右侧的绑定

5. 打开网站绑定界面后，点击添加

6. 添加网站绑定内容: 选择类型为https，端口443，并指定相应的SSL证书，然后单击“确定”

7. 添加完成后，网站绑定界面将看到刚添加的内容

如果在申请证书时填写私钥密码，请下载并获取包含密钥库的Tomcat文件夹；

如果未填写私钥密码，则证书下载包的Tomcat文件夹将包含密钥库文件和密钥库密码文件keystorePass.txt

当用户选择粘贴CSR时，不提供Tomcat证书文件的下载，用户需要手工转换格式生成，操作方法如下:

可以从Nginx文件夹中的证书文件和私钥文件生成Jks格式的证书

转换工具:

使用该工具时，请注意密钥库密码. 安装证书时需要在配置文件中填写.

配置SSL连接器，将文件存储在conf目录中，然后在同一目录中配置server.xml文件:

<Connectorport="443"protocol="HTTP/1.1"SSLEnabled="true"maxThreads="150"scheme="https"secure="true"
keystoreFile="conf/www.domain.com.jks"keystorePass="changeit"clientAuth="false"sslProtocol="TLS"/>

注意:

配置文件参数说明

clientAuth

如果设置为true，则意味着Tomcat要求所有SSL客户端出示安全证书以验证SSL客户端

keystoreFile

指定密钥库文件的存储位置，相对于（Tomcat安装目录）环境变量的绝对路径或相对路径. 如果未设置此项，默认情况下，Tomcat将从当前操作系统用户的用户目录中读取名为“ .keystore”的文件.

keystorePass

密钥库密码，指定密钥库密码. （如果您在申请证书时填写了私钥密码，则密钥库密码就是私钥密码，否则请在密钥库密码文件中填写密码）

sslProtocol

指定套接字（Socket）使用的加密/解密协议，默认值为TLS

转到conf目录中的web.xml. 在倒数第二段和之后，添加此段

                            <login-config>
                            <!-- Authorization setting for SSL -->
                            <auth-method>CLIENT-CERT</auth-method>
                            <realm-name>Client Cert Users-only Area</realm-name>
                            </login-config>
                            <security-constraint>
                            <!-- Authorization setting for SSL -->
                            <web-resource-collection>
                            <web-resource-name>SSL</web-resource-name>
                            <url-pattern>/*</url-pattern>
                            </web-resource-collection>
                            <user-data-constraint>
                            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
                            </user-data-constraint></security-constraint>

此步骤的目的是使非ssl连接器跳到ssl连接器. 因此，您需要转到server.xml进行配置:

<Connectorport="8080"protocol="HTTP/1.1"connectionTimeout="20000"redirectPort="443"/>

redirectPort更改为ssl连接器端口443，它将在重新启动后生效.

请与网站管理员工具的相关人员联系，以帮助您完成证书吊销.

提供证书信息: 包括证书ID，域名，证书序列号.

网站站长工具的相关人员将要求您完成相应的DNS验证或文件验证. 完成身份验证后，CA组织可以继续完成证书吊销过程.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-231174-1.html