长沙霜天更新阿里云SSL免费证书购买及使用教程,让你的网站从HTTP换成HTTPS。SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。 SSL证书就是遵守 SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。
现在已经是深夜11点了,今天霜天博客的Let’s Encrypt 签发的证书已经过期了,很多朋友想霜天反馈,证书过期了,所以深夜加班,临时出一套教程。
HTTP协议是不加密传输数据的,也就是用户跟你的网站之间传递数据有可能在途中被黑客截获、破解传递的真实内容,使用不加密的 HTTP 的网站是不太安全的。而且,使用HTTPS的网站有利于搜索引擎优化,对此,Google的Chrome 浏览器将在 2017 年 1 月开始,标记使用不加密的 HTTP 协议的网站为 Not Secure,不安全。
其实,你需要做的就是让网站支持 HTTPS!并不难,而且现在可以免费做到。首先,你需要安全机构颁发的安全证书,然后配置服务器去使用这个证书。下面介绍一下在阿里云免费申请安全证书,还有配置一般的 NGINX 服务器支持 HTTPS 的方法。
- 购买SSL证书
- 配置SSL证书(分两种,宝塔和命令)
申请证书
登录:阿里云控制台,产品与服务,证书服务,购买证书。
链接地址为:https://common-buy.aliyun.com/?spm=5176.2020520163.cas.1.8c20fcOIjaCT&commodityCode=cas#/buy
购买:证书类型选择 免费型DV SSL,然后完成购买。
此处套路深,请根据教程走。
补全:在 我的证书 控制台,找到购买的证书,在操作栏里选择 补全。填写证书相关信息。
域名验证:可以选择 DNS,如果域名用了阿里云的 DNS 服务,再勾选一下 证书绑定的域名在 阿里云的云解析。
提交审核。
如果一切正常,10 分钟左右,申请的证书就会审核通过。
最后一步上传SSL证书
1、下载证书
在阿里云的证书管理那里,如果申请的证书审核通过,你就可以下载了,点击 下载,可以选择不同的类型,可以选择 NGINX,或 Apache 之类的服务器。根据自己网站的 Web 服务器类型,下载对应的证书。解压以后,你会得到两个文件一个是 *.key,一个是 *.pem。
下载证书。
宝塔配置HTTPS教程
霜天使用的是Nginx。所以。。。就这样操作一下咯
手动配置NGINX的HTTPS教程
有了证书,就可以去配置 Web 服务器去使用这个证书了,不同的 Web 服务器地配置方法都不太一样。下面用 NGINX 服务器作为演示。我的域名是wenq44.sg-host.com,出现这个文字的地方你可以根据自己的实际情况去替换一下。
下载并上传证书
创建一个存储证书的目录:
sudo mkdir -p /etc/nginx/ssl/wenq44.sg-host.com
把申请并下载下来的证书,上传到上面创建的目录的下面。我的证书的实际位置是:
/etc/nginx/ssl/wenq44.sg-host.com/214491514480393.pem /etc/nginx/ssl/wenq44.sg-host.com/214491514480393.key
NGINX 配置文件
你的网站可以同时支持 HTTP 与 HTTPS,HTTP 默认的端口号是 80,HTTPS 的默认端口号是 443。也就是如果你的网站要使用 HTTPS,你需要配置网站服务器,让它监听 443 端口,就是用户使用 HTTPS 发出的请求。
下面是一个基本的监听 443 端口,使用了 SSL 证书的 NGINX 配置文件,创建一个配置文件:
touch /etc/nginx/ssl.wenq44.sg-host.com.conf
把下面的代码粘贴进去:
server {
listen 443;
server_name ninghao.org;
ssl on;
root /mnt/www/ninghao.org;
index index.html;
ssl_certificate /etc/nginx/ssl/wenq44.sg-host.com/214491514480393.pem;
ssl_certificate_key /etc/nginx/ssl/wenq44.sg-host.com/214491514480393.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;
ssl_prefer_server_ciphers on;
}
上面的配置里,ssl_certificate 与 ssl_certificate_key 这两个指令指定使用了两个文件,就是你下载的证书,解压之后看到的那两个文件,一个是 *.pem,一个是 *.key。你要把这两个文件上传到服务器上的某个目录的下面。
重新加载 NGINX 服务:
sudo service nginx reload
或:
sudo systemctl reload nginx
验证配置
在浏览器上输入带 https 的网站地址:http://i5seo.com
如果正确的配置了让服务器使用 SSL 证书,会在地址栏上显示一个绿色的小锁头图标。
搜索引擎优化
2015 年 5 月 25 日,百度发公告声明已全面支持 HTTPS 网页的收录,使用 HTTPS 的网页被认为更安全,所以在排名上会被优先。 百度还推荐使用 301 重定向,把网站的 HTTP 重定向到 HTTPS 。
不过百度的反应一般都比较慢,需要给他更长的时间。换成 HTTPS 的后两天,谷歌已经收录了 HTTPS 版本的首页,但是百度至今还没有反应。不管怎么样,使用 HTTPS 都是迟早要做的事情。
NGINX 配置使用 301 重定向:
server {
listen 80;
server_name ninghao.org;
return 301 https://$host$request_uri;
}
上面的配置会让对HTTP网页的请求,重定向到HTTPS版本的网页上。
然后,大家可以来检查一下霜天的证书怎么样:
https://myssl.com/wenq6.sg-host.com?domain=wenq6.sg-host.com&status=success
最后,十分感谢大家关注霜天的网站感谢。
到此,我们安装HTTPS的教程,就结束了。
你有更好的安装方式么?或者,你安装SSL的方式是什么呢?欢迎与霜天一起探讨。朋友们,晚安。
底部附上阿里云其他教程。
Apache 证书安装教程
( 1 ) 在Apache的安装目录下创建cert目录,并且将下载的全部文件拷贝到cert目录中。如果申请证书时是自己创建的CSR文件,请将对应的私钥文件放到cert目录下并且命名为214491514480393.key; ( 2 ) 打开 apache 安装目录下 conf 目录中的 httpd.conf 文件,找到以下内容并去掉“#”: #LoadModule ssl_module modules/mod_ssl.so (如果找不到请确认是否编译过 openssl 插件) #Include conf/extra/httpd-ssl.conf ( 3 ) 打开 apache 安装目录下 conf/extra/httpd-ssl.conf 文件 (也可能是conf.d/ssl.conf,与操作系统及安装方式有关), 在配置文件中查找以下配置语句: # 添加 SSL 协议支持协议,去掉不安全的协议 SSLProtocol all -SSLv2 -SSLv3 # 修改加密套件如下 SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM SSLHonorCipherOrder on # 证书公钥配置 SSLCertificateFile cert/public.pem # 证书私钥配置 SSLCertificateKeyFile cert/214491514480393.key # 证书链配置,如果该属性开头有 '#'字符,请删除掉 SSLCertificateChainFile cert/chain.pem ( 4 ) 重启 Apache。 ( 5 ) 通过 https 方式访问您的站点,测试站点证书的安装配置,如遇到证书不信任问题,请查看帮助视频。
Tomcat安装证书
Tomcat支持JKS格式证书,从Tomcat7开始也支持PFX格式证书,两种证书格式任选其一。 文件说明: 1. 证书文件214491514480393.pem,包含两段内容,请不要删除任何一段内容。 2. 如果是证书系统创建的CSR,还包含:证书私钥文件214491514480393.key、PFX格式证书文件214491514480393.pfx、PFX格式证书密码文件pfx-password.txt。 1、证书格式转换 在Tomcat的安装目录下创建cert目录,并且将下载的全部文件拷贝到cert目录中。如果申请证书时是自己创建的CSR文件,附件中只包含214491514480393.pem文件,还需要将私钥文件拷贝到cert目录,命名为214491514480393.key;如果是系统创建的CSR,请直接到第2步。 到cert目录下执行如下命令完成PFX格式转换命令,此处要设置PFX证书密码,请牢记: openssl pkcs12 -export -out 214491514480393.pfx -inkey 214491514480393.key -in 214491514480393.pem 2、PFX证书安装 找到安装Tomcat目录下该文件server.xml,一般默认路径都是在 conf 文件夹中。找到 <Connection port="8443"标签,增加如下属性: keystoreFile="cert/214491514480393.pfx" keystoreType="PKCS12" #此处的证书密码,请参考附件中的密码文件或在第1步中设置的密码 keystorePass="证书密码" 完整的配置如下,其中port属性根据实际情况修改: <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true" keystoreFile="cert/214491514480393.pfx" keystoreType="PKCS12" keystorePass="证书密码" clientAuth="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/> 3、JKS证书安装(帮助) ( 1 ) 使用java jdk将PFX格式证书转换为JKS格式证书(windows环境注意在%JAVA_HOME%/jdk/bin目录下执行) keytool -importkeystore -srckeystore 214491514480393.pfx -destkeystore your-name.jks -srcstoretype PKCS12 -deststoretype JKS 回车后输入JKS证书密码和PFX证书密码,强烈推荐将JKS密码与PFX证书密码相同,否则可能会导致Tomcat启动失败。 ( 2 ) 找到安装 Tomcat 目录下该文件Server.xml,一般默认路径都是在 conf 文件夹中。找到 <Connection port="8443"标签,增加如下属性: keystoreFile="cert/your-name.jks" keystorePass="证书密码" 完整的配置如下,其中port属性根据实际情况修改: <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true" keystoreFile="cert/your-name.jks" keystorePass="证书密码" clientAuth="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/> ( 注意:不要直接拷贝所有配置,只需添加 keystoreFile,keystorePass等参数即可,其它参数请根据自己的实际情况修改 ) 4、 重启 Tomcat。 5、 通过 https 方式访问您的站点,测试站点证书的安装配置,如遇到证书不信任问题,请查看帮助视频。
IIS 7/8 安装证书
IIS 7/8 支持PFX格式证书,下载包中包含PFX格式证书和密码文件。以沃通证书为例: 文件说明: 1. 证书文件214491514480393.pem,包含两段内容,请不要删除任何一段内容。 2. 如果是证书系统创建的CSR,还包含:证书私钥文件214491514480393.key、PFX格式证书文件214491514480393.pfx、PFX格式证书密码文件pfx-password.txt。 ( 1 ) 证书导入 • 开始 -〉运行 -〉MMC; • 启动控制台程序,选择菜单“文件"中的"添加/删除管理单元”-> “添加”,从“可用的独立管理单元”列表中选择“证书”-> 选择“计算机帐户”; • 在控制台的左侧显示证书树形列表,选择“个人”->“证书”,右键单击,选择“所有任务"-〉"导入”, 根据"证书导入向导”的提示,导入PFX文件(此过程当中有一步非常重要: “根据证书内容自动选择存储区”)。安装过程当中需要输入密码为您当时设置的密码。导入成功后,可以看到如图所示的证书信息。 ( 2 ) 分配服务器证书 • 打开 IIS8.0 管理器面板,找到待部署证书的站点,点击“绑定”,如图。 • 设置参数 选择“绑定”->“添加”->“类型选择 https” ->“端口 443” ->“ssl 证书【导入的证书名称】” ->“确定”,SSL 缺省端口为 443 端口(请不要随便修改。 如果您使用其他端口如:8443,则访问时必须输入:https://www.domain.com:8443)。如图 如遇到问题,请查看帮助视频。