当你给web平台配置https协议时,必然会需要用到SSL证书。通常,我们都会使用自签名的免费SSL证书。这种证书虽然能白嫖,也有缺点,如果面对公网的站点使用自签名证书,用户打开的时候都会被浏览器警告,表示该证书未经安全认证,如下图。
如果公网使用的证书是由全球权威CA机构签发的,受各大浏览器信任,网站可以直接打开,显示安全(如下图)。
为了解决安全证书的问题,我们找到了一个性价比相对较高的HTTPS证书申请的网站:FreeSSL.cn(https://freessl.cn/)目前是9.9元三年和19.9五年供选择。下面是我记录的当时购买和配置协议的流程,方便后续有需要的同学进行参考。
目录
一、证书配置流程:
1、要申请证书,首先要有自己的域名。域名可以是公司的,也可以是自己购买的。证书签发需要在购买域名的三方机构进行验证,目的是验证域名的所有权,简单说就是验证域名是不是你的。我们使用的是在阿里云购买的域名,后续的流程也是基于阿里云操作台的实际流程截图。
2、购买证书,打开FreeSSL.cn(https://freessl.cn/)证书购买网站,上面填写上你的域名,选择最下面左侧9.9元/年(可续三年)和19.9元/年(可续五年)的都可以,然后点击右侧的“抢购证书”进行付费购买。
这一页内容可以根据实际情况进行选择,如果没有具体要求,可以跟我一起选择默认选项,如下图所示。支付相关内容不再赘述,记得报销。
3、付费后会自动进入 订单系统 https://certcloud.cn/,进行证书的认证和签发;需要完成的主要包括提交订单、提交CSR、域名验证三步;由于我们证书已经签发过,下面都已经通过并打钩,在签发前是没有绿色打钩的。这里需要操作的主要是后两步“提交CSR、域名验证”,下面我也会主要跟你介绍。
4、提交CSR步骤,其实就是生成并下载证书私钥,证书私钥得留好,后面验证证书时会用到;如下图所示,生成CSR的主要方式两种,浏览器直接生成或通过KeyManager这个客户端生成并管理,我使用了KeyManager,这样至少不会随意丢失,使用也方便,他可以给你生成Nginx(pem)、Apache(pem)tomcat(jks)、ISS(pfx、pkcs12)等形式的证书,使用上很便捷。
输入密码后,自动显示 CSR私钥生成成功,请返回浏览器说明成功生成 CSR私钥。证书这边的操作就完成了,证书也可以导出了,是不是很简单?当然,目前生成的证书还没有被FreeSSL正式签发,因此还不能被CA认证为安全。
下面进入最后一步,将证书拿到域名代理机构去核验域名真实性,核验通过后,安全认证就可以签发使用了。
5、到了域名验证步骤了,会自动获取到验证信息,下一步要到你的买域名的运营商那里(我的是阿里云),需要去进行DNS解析认证,证明这个域名是你拥有的。
6、如上图所示,我们是申请了两个域名都能使用这个安全证书,当然,你也可以只申请一个。然后我们打开阿里云,通过下图流程到DNS解析设置这页,点击域名的解析设置按钮。
点击添加记录,在这里添加记录内容,这样证书网站进行验证时,会扫描到域名中的这个内容,即校验成功。下方两张图来记录这里添加的形式,内容取自上方的域名验证信息图中内容,尽量保持一致即可。
添加完成后,回到证书订单页进行DNS验证,点击“配置完成,检测一下”,会生成检测结果如下两图所示。说明该安全证书已经签发完毕,到这里,证书方面已经搞定了。
好了,你再到证书验证界面看一下,会发现证书已经签发成功了。啊,如此简单!!如果你感觉并不简单,可以通过微信(w843903492)找到我,并备注配置https证书,求笔试,然后接受我的鄙视。
或许你会疑惑,前面图中三条记录还有第一条记录是干啥的?其实我当时也没有配置这个,后来发现通过https://ip:port访问还是不安全的,嗯?没用??
不用慌!你想,我们为什么要配置“域名+证书”关联?当然是要“域名+证书”一起用才行,所以我们要想办法通过:https://domain:port/ 这种域名形式进行访问,这样就实现了“域名+证书”一起用。
那么我们把web所在的公网IP代理到www.chenhh.com域名上是不是就可以了?
是的!聪明如你,下面两张图可以清晰的看到,我们将我们的公网IP222.128.xx.xx代理到了www.chenhh.com域名下,这样用户在访问www.chenhh.com时,DNS会把域名自动映射为你的IP。
配置完后我们就可以到KeyManager客户端导出我们的证书了,可以导出Nginx(pem)、Apache(pem)tomcat(jks)、ISS(pfx、pkcs12)等形式的证书,记得写一个私钥加密密码,后面server配置时用得上。导出证书流程由于过于简单,不再赘述。
由于我们使用的tomcat server,下面我会介绍tomcat配置证书的方式,希望能够帮到你。
二、tomcat server配置流程
证书有了,剩下就很好办了。我使用的tomcat做web容器,只需要修改tomcat/conf/server.xml文件即可。内容可以参考博客:
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
😝朋友们如果有需要的话,可以联系领取~
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
2️⃣视频配套工具&国内外网安书籍、文档
① 工具
② 视频
③ 书籍
资源较为敏感,未展示全面,需要的最下面获取
② 简历模板
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
扫一扫
6087
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
