长沙霜天更新阿里云SSL免费证书购买及使用教程,让网站从HTTP换成HTTPS

作者

长沙霜天更新阿里云SSL免费证书购买及使用教程,让你的网站从HTTP换成HTTPS。SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。 SSL证书就是遵守 SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。

现在已经是深夜11点了,今天霜天博客的Let’s Encrypt 签发的证书已经过期了,很多朋友想霜天反馈,证书过期了,所以深夜加班,临时出一套教程。
HTTP协议是不加密传输数据的,也就是用户跟你的网站之间传递数据有可能在途中被黑客截获、破解传递的真实内容,使用不加密的 HTTP 的网站是不太安全的。而且,使用HTTPS的网站有利于搜索引擎优化,对此,Google的Chrome 浏览器将在 2017 年 1 月开始,标记使用不加密的 HTTP 协议的网站为 Not Secure,不安全。
其实,你需要做的就是让网站支持 HTTPS!并不难,而且现在可以免费做到。首先,你需要安全机构颁发的安全证书,然后配置服务器去使用这个证书。下面介绍一下在阿里云免费申请安全证书,还有配置一般的 NGINX 服务器支持 HTTPS 的方法。

  1. 购买SSL证书
  2. 配置SSL证书(分两种,宝塔和命令)

申请证书

登录:阿里云控制台,产品与服务,证书服务,购买证书。
链接地址为:https://common-buy.aliyun.com/?spm=5176.2020520163.cas.1.8c20fcOIjaCT&commodityCode=cas#/buy
购买:证书类型选择 免费型DV SSL,然后完成购买。
此处套路深,请根据教程走。
长沙霜天更新阿里云SSL免费证书购买及使用教程,让网站从HTTP换成HTTPS
长沙霜天更新阿里云SSL免费证书购买及使用教程,让网站从HTTP换成HTTPS
长沙霜天更新阿里云SSL免费证书购买及使用教程,让网站从HTTP换成HTTPS
长沙霜天更新阿里云SSL免费证书购买及使用教程,让网站从HTTP换成HTTPS
补全:在 我的证书 控制台,找到购买的证书,在操作栏里选择 补全。填写证书相关信息。
长沙霜天更新阿里云SSL免费证书购买及使用教程,让网站从HTTP换成HTTPS 长沙霜天更新阿里云SSL免费证书购买及使用教程,让网站从HTTP换成HTTPS
长沙霜天更新阿里云SSL免费证书购买及使用教程,让网站从HTTP换成HTTPS
域名验证:可以选择 DNS,如果域名用了阿里云的 DNS 服务,再勾选一下 证书绑定的域名在 阿里云的云解析。
提交审核。
如果一切正常,10 分钟左右,申请的证书就会审核通过。

最后一步上传SSL证书

1、下载证书

在阿里云的证书管理那里,如果申请的证书审核通过,你就可以下载了,点击 下载,可以选择不同的类型,可以选择 NGINX,或 Apache 之类的服务器。根据自己网站的 Web 服务器类型,下载对应的证书。解压以后,你会得到两个文件一个是 *.key,一个是 *.pem。
长沙霜天更新阿里云SSL免费证书购买及使用教程,让网站从HTTP换成HTTPS
下载证书。
长沙霜天更新阿里云SSL免费证书购买及使用教程,让网站从HTTP换成HTTPS

宝塔配置HTTPS教程

长沙霜天更新阿里云SSL免费证书购买及使用教程,让网站从HTTP换成HTTPS
霜天使用的是Nginx。所以。。。就这样操作一下咯

长沙霜天更新阿里云SSL免费证书购买及使用教程,让网站从HTTP换成HTTPS

手动配置NGINX的HTTPS教程

有了证书,就可以去配置 Web 服务器去使用这个证书了,不同的 Web 服务器地配置方法都不太一样。下面用 NGINX 服务器作为演示。我的域名是wenq44.sg-host.com,出现这个文字的地方你可以根据自己的实际情况去替换一下。

下载并上传证书

创建一个存储证书的目录:

sudo mkdir -p /etc/nginx/ssl/wenq44.sg-host.com

把申请并下载下来的证书,上传到上面创建的目录的下面。我的证书的实际位置是:

/etc/nginx/ssl/wenq44.sg-host.com/214491514480393.pem
/etc/nginx/ssl/wenq44.sg-host.com/214491514480393.key

NGINX 配置文件

你的网站可以同时支持 HTTP 与 HTTPS,HTTP 默认的端口号是 80,HTTPS 的默认端口号是 443。也就是如果你的网站要使用 HTTPS,你需要配置网站服务器,让它监听 443 端口,就是用户使用 HTTPS 发出的请求。
下面是一个基本的监听 443 端口,使用了 SSL 证书的 NGINX 配置文件,创建一个配置文件:

touch /etc/nginx/ssl.wenq44.sg-host.com.conf

把下面的代码粘贴进去:

server {
  listen       443;
  server_name  ninghao.org;
  ssl          on;
  root /mnt/www/ninghao.org;
  index index.html;
  ssl_certificate   /etc/nginx/ssl/wenq44.sg-host.com/214491514480393.pem;
  ssl_certificate_key  /etc/nginx/ssl/wenq44.sg-host.com/214491514480393.key;
  ssl_session_timeout 5m;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;
  ssl_prefer_server_ciphers on;
}

上面的配置里,ssl_certificate 与 ssl_certificate_key 这两个指令指定使用了两个文件,就是你下载的证书,解压之后看到的那两个文件,一个是 *.pem,一个是 *.key。你要把这两个文件上传到服务器上的某个目录的下面。
重新加载 NGINX 服务:

sudo service nginx reload

或:

sudo systemctl reload nginx

验证配置

在浏览器上输入带 https 的网站地址:http://i5seo.com
如果正确的配置了让服务器使用 SSL 证书,会在地址栏上显示一个绿色的小锁头图标。
长沙霜天更新阿里云SSL免费证书购买及使用教程,让网站从HTTP换成HTTPS

搜索引擎优化

2015 年 5 月 25 日,百度发公告声明已全面支持 HTTPS 网页的收录,使用 HTTPS 的网页被认为更安全,所以在排名上会被优先。 百度还推荐使用 301 重定向,把网站的 HTTP 重定向到 HTTPS 。
不过百度的反应一般都比较慢,需要给他更长的时间。换成 HTTPS 的后两天,谷歌已经收录了 HTTPS 版本的首页,但是百度至今还没有反应。不管怎么样,使用 HTTPS 都是迟早要做的事情。
NGINX 配置使用 301 重定向:

server {
  listen        80;
  server_name   ninghao.org;
  return 301    https://$host$request_uri;
}

上面的配置会让对HTTP网页的请求,重定向到HTTPS版本的网页上。
然后,大家可以来检查一下霜天的证书怎么样:
https://myssl.com/wenq6.sg-host.com?domain=wenq6.sg-host.com&status=success
最后,十分感谢大家关注霜天的网站感谢。
长沙霜天更新阿里云SSL免费证书购买及使用教程,让网站从HTTP换成HTTPS
到此,我们安装HTTPS的教程,就结束了。
你有更好的安装方式么?或者,你安装SSL的方式是什么呢?欢迎与霜天一起探讨。朋友们,晚安。
底部附上阿里云其他教程。

Apache 证书安装教程

( 1 ) 在Apache的安装目录下创建cert目录,并且将下载的全部文件拷贝到cert目录中。如果申请证书时是自己创建的CSR文件,请将对应的私钥文件放到cert目录下并且命名为214491514480393.key;
( 2 ) 打开 apache 安装目录下 conf 目录中的 httpd.conf 文件,找到以下内容并去掉“#”:
#LoadModule ssl_module modules/mod_ssl.so (如果找不到请确认是否编译过 openssl 插件)
#Include conf/extra/httpd-ssl.conf
( 3 ) 打开 apache 安装目录下 conf/extra/httpd-ssl.conf 文件 (也可能是conf.d/ssl.conf,与操作系统及安装方式有关), 在配置文件中查找以下配置语句:
# 添加 SSL 协议支持协议,去掉不安全的协议
SSLProtocol all -SSLv2 -SSLv3
# 修改加密套件如下
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
SSLHonorCipherOrder on
# 证书公钥配置
SSLCertificateFile cert/public.pem
# 证书私钥配置
SSLCertificateKeyFile cert/214491514480393.key
# 证书链配置,如果该属性开头有 '#'字符,请删除掉
SSLCertificateChainFile cert/chain.pem
( 4 ) 重启 Apache。
( 5 ) 通过 https 方式访问您的站点,测试站点证书的安装配置,如遇到证书不信任问题,请查看帮助视频

Tomcat安装证书

Tomcat支持JKS格式证书,从Tomcat7开始也支持PFX格式证书,两种证书格式任选其一。
文件说明:
1. 证书文件214491514480393.pem,包含两段内容,请不要删除任何一段内容。
2. 如果是证书系统创建的CSR,还包含:证书私钥文件214491514480393.key、PFX格式证书文件214491514480393.pfx、PFX格式证书密码文件pfx-password.txt。
1、证书格式转换
在Tomcat的安装目录下创建cert目录,并且将下载的全部文件拷贝到cert目录中。如果申请证书时是自己创建的CSR文件,附件中只包含214491514480393.pem文件,还需要将私钥文件拷贝到cert目录,命名为214491514480393.key;如果是系统创建的CSR,请直接到第2步。
到cert目录下执行如下命令完成PFX格式转换命令,此处要设置PFX证书密码,请牢记:
openssl pkcs12 -export -out 214491514480393.pfx -inkey 214491514480393.key -in 214491514480393.pem
2、PFX证书安装
找到安装Tomcat目录下该文件server.xml,一般默认路径都是在 conf 文件夹中。找到 <Connection port="8443"标签,增加如下属性:
keystoreFile="cert/214491514480393.pfx"
keystoreType="PKCS12"
#此处的证书密码,请参考附件中的密码文件或在第1步中设置的密码
keystorePass="证书密码"
完整的配置如下,其中port属性根据实际情况修改:
<Connector port="8443"
    protocol="HTTP/1.1"
    SSLEnabled="true"
    scheme="https"
    secure="true"
    keystoreFile="cert/214491514480393.pfx"
    keystoreType="PKCS12"
    keystorePass="证书密码"
    clientAuth="false"
    SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
    ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
3、JKS证书安装(帮助)
( 1 ) 使用java jdk将PFX格式证书转换为JKS格式证书(windows环境注意在%JAVA_HOME%/jdk/bin目录下执行)
keytool -importkeystore -srckeystore 214491514480393.pfx -destkeystore your-name.jks -srcstoretype PKCS12 -deststoretype JKS
回车后输入JKS证书密码和PFX证书密码,强烈推荐将JKS密码与PFX证书密码相同,否则可能会导致Tomcat启动失败。
( 2 ) 找到安装 Tomcat 目录下该文件Server.xml,一般默认路径都是在 conf 文件夹中。找到 &lt;Connection port="8443"标签,增加如下属性:
keystoreFile="cert/your-name.jks"
keystorePass="证书密码"
完整的配置如下,其中port属性根据实际情况修改:
<Connector port="8443"
    protocol="HTTP/1.1"
    SSLEnabled="true"
    scheme="https"
    secure="true"
    keystoreFile="cert/your-name.jks"
    keystorePass="证书密码"
    clientAuth="false"
    SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
    ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
( 注意:不要直接拷贝所有配置,只需添加 keystoreFile,keystorePass等参数即可,其它参数请根据自己的实际情况修改 )
4、 重启 Tomcat。
5、 通过 https 方式访问您的站点,测试站点证书的安装配置,如遇到证书不信任问题,请查看帮助视频

IIS 7/8 安装证书

IIS 7/8 支持PFX格式证书,下载包中包含PFX格式证书和密码文件。以沃通证书为例:
文件说明:
1. 证书文件214491514480393.pem,包含两段内容,请不要删除任何一段内容。
2. 如果是证书系统创建的CSR,还包含:证书私钥文件214491514480393.key、PFX格式证书文件214491514480393.pfx、PFX格式证书密码文件pfx-password.txt。
( 1 ) 证书导入
• 开始 -〉运行 -〉MMC;
• 启动控制台程序,选择菜单“文件"中的"添加/删除管理单元”-> “添加”,从“可用的独立管理单元”列表中选择“证书”-> 选择“计算机帐户”;
• 在控制台的左侧显示证书树形列表,选择“个人”->“证书”,右键单击,选择“所有任务"-〉"导入”, 根据"证书导入向导”的提示,导入PFX文件(此过程当中有一步非常重要: “根据证书内容自动选择存储区”)。安装过程当中需要输入密码为您当时设置的密码。导入成功后,可以看到如图所示的证书信息。
TB16zdPNpXXXXXnXFXXXXXXXXXX 564 325
( 2 ) 分配服务器证书
• 打开 IIS8.0 管理器面板,找到待部署证书的站点,点击“绑定”,如图。
TB1CgxTNpXXXXaTXpXXXXXXXXXX 561 330
• 设置参数
选择“绑定”->“添加”->“类型选择 https” ->“端口 443” ->“ssl 证书【导入的证书名称】” ->“确定”,SSL 缺省端口为 443 端口(请不要随便修改。 如果您使用其他端口如:8443,则访问时必须输入:https://www.domain.com:8443)。如图
TB1r3xZNpXXXXbUXXXXXXXXXXXX 561 400
如遇到问题,请查看帮助视频

发表评论