SSL证书,才是连接的终极奥义

最新推荐文章于 2022-11-28 18:05:53 发布
最新推荐文章于 2022-11-28 18:05:53 发布
阅读量2.1k 收藏 1
点赞数
文章标签: 网络协议 网络 服务器 ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66712136/article/details/123180534
版权

什么是SSL证书

SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。

SSL 证书 就是遵守 SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。

SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了),即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露,保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。

如何获得证书

获取证书的方式有多种方式,一般都是在网络申请,费用方面,根据证书类型的不同存在较大差异,目前SSL证书主要可以分为DV SSL证书、OV SSL证书和EV SSL证书三类。其中DV SSL证书最便宜,几元到几百元不等,等级也最低,通常只需要通过程序,自动匹配申请人或机构信息和所申请的域名信息,只要匹配一致就能获得证书,无需人工审核,快的话几分钟就可以。

而OV SSL证书则至少在几千元以上,最贵的是EV SSL证书可能会上万元(均按年计算),随着互联网的发展与人们网络安全意识的提高,使用HTTPS在未来必将成为主流。

证书的安装使用几种方法

方法一、使用服务器证书安装配置指南(Apache)

生成证书请求文件(CSR)。在购买并安装SSL证书之前,你必须在服务器上制作一个CSR文件。该文件中的公钥会用来生成私钥。在Apache中输入如下命令就能直接生成CSR:

打开OpenSSL工具,路径一般为/usr/local/ssl/bin/。

输入如下命令生成密钥:

openssl genrsa –des3 –out www.mydomain.com.key 2048

设置密码。以后每次用到密钥时都会要求你输入密码。

开始生成CSR。当收到提示开始创建CSR时,请输入如下命令:

openssl req –new –key www.mydomain.com.key –out www.mydomain.com.csr

填好相关信息。这些信息包括:两位数的国家代码、州名或省份名、城镇名、企业全名、部门名称(如:IT部或市场部)及通用名(也就是域名)。

生成CSR文件。填好信息后,输入以下命令就能在服务器上生成CSR文件了:[1]

openssl req -noout -text -in www.mydomain.com.csr

2

申请SSL证书。提供在线SSL证书申请服务的网站有很多,一定要选择有名气的网站申请,因为这关系到你和你用户的安全。比较受欢迎的网站包括DigiCert、Symantec、GlobalSign等等。要根据自己的需求(如多个证书的申请、企业服务解决方案等)来选择最适合自己的网站。

在相关网站上申请时,需要提交CSR文件。这样你的服务器上就能生成证书了。

3

下载证书。在你购买证书的网站上,你需要下载一份中级证书。接着,你就会通过邮件或在网站客户区收到一份初级证书,其中的密钥应如下所示:

-----BEGIN CERTIFICATE-----

[Encoded Certificate]

-----END CERTIFICATE-----

如果证书是文本形式的,那么在上传之前,你要先将其转换为CRT文件。

检查下载的密钥。密钥中BEGIN CERTIFICATE及ENG CERTIFICATE的两边应该各有5个“-”。同时要确保密钥中没有多余的空格或空行。

4

将证书上传到服务器。证书要放在专门用于存放证书及密钥文件的文件夹里。例如,你可以将所有相关文件都存放在如下路径下:/usr/local/ssl/crt/。

5

在文本编辑器中打开“http.conf”文件。 有些版本的Apache包含一个叫做“ssl.conf”的配置文件。两个文件只能修改其一。在Virtual Host部分添加如下代码:[2]

SSLCertificateFile /usr/local/ssl/crt/primary.crt

SSLCertificateKeyFile /usr/local/ssl/private/private.key

SSLCertificateChainFile /usr/local/ssl/crt/intermediate.crt

完成后,保存对文件的修改。必要情况下重新上传。

6

重启服务器。文件修改后,只要重启一下服务器就可以开始使用SSL证书了。大多数版本都可以通过如下命令来重启:

apachectlp stop

apachectl startssl

7

测试证书。用各种浏览器来测试一下SSL证书是否有效。通过“http://”来启用SSL证书,连接到你的网站。你会看到地址栏的背景是绿色的,还有一个锁状的图标。[3]

方法二

使用微软的互联网信息服务(IIS)

1

生成CSR。在购买及安装SSL证书之前,首先要在服务器上制作一个CSR文件。该文件中的公钥会用来生成私钥。在IIS 8上,只需用鼠标轻轻点击就能生成出CSR。[4]

以管理员身份登录到服务器。

点击“管理工具”,打开IIS管理器。

在“连接”列表中选择你要安装到的工作站。

打开服务器证书工具。

点击右上角、操作列表下方的“创建证书请求”链接。

在向导程序中填入信息,包括两位数国家代码、州名或省份名、城镇名、企业全名、部门名称(如IT部或市场部)及通用名(也就是域名)。

“加密服务提供程序” 保留默认值。

将“位长”设置为 “2048”。

命名证书请求文件。文件名可随意,只要你找得到。

2

申请SSL证书。提供在线SSL证书申请服务的网站有很多,一定要选择有名气的网站申请,因为这关系到你和你的用户的安全。比较受欢迎的网站包括DigiCert、Symantec、GlobalSign等等。要根据自己的需求(如多个证书的申请、企业服务解决方案等)来选择最适合自己的网站。

在相关网站上申请时,需要提交CSR文件。这样你的服务器上就能生成证书了。有些网站会要求你拷贝CSR文件中的内容,也有网站会要求你直接上传CSR文件。

3

下载证书。在你购买证书的网站上,你需要下载一份中级证书。接着,你就会通过邮件或在网站客户区收到一份初级证书。

将初级证书重命名为“网站名.cer”。

4

再次在IIS中打开服务器证书工具。单击“创建证书请求下方”的“完成证书请求”。

5

找到证书文件。一旦将证书文件连接到计算机,你就要为该文件起一个方便在服务器上识别的名称。确保证书存储位置为“个人”。单击“确定”完成安装。

这时证书应该就会出现在列表上了。如果没有,确认下你生成CSR的时候是不是使用了同一台服务器。

6

将证书与网站绑定。证书安装好后,就要与你要保护的网站绑定起来。展开“连接”列表上的“网站”文件夹,然后点击你的网站。

点击“操作”列表上的“绑定”链接。

在弹出的网站绑定窗口中,点击“添加”按钮。

在“类型”下拉菜单中选择“https”,然后在“SSL证书”下拉菜单中选择你安装好的证书。

点击“确定”——“关闭”。

7

安装中级证书。找到从证书申请网站上下载下来的中级证书。有些网站会提供不止一个需要安装的证书,有些网站则只提供一个。将这些证书复制到服务器上一个专门的文件夹里。[5]

将证书复制到服务器上后,双击打开“证书详细信息”。

单击“常规”选项卡。单击窗口底部的“安装证书”。

选择“将所有证书都放入下列文件夹”,然后在“显示本地物理盘”中找到本地存储区。选择中级证书,然后单击“本地计算机”。

8

重启IIS。要开始分配证书,就要重启IIS服务器。点击“开始”——“运行”,输入“IISREset”然后按回车。这时命令提示符就会出现,同时显示出IIS的重启状态。[6]

9

测试证书。用各种浏览器来测试一下SSL证书是否有效。通过“http://”来启用SSL证书,连接到你的网站。你会看到地址栏的背景是绿色的,还有一个锁状的图标。

方法三

使用cPanel

1

生成CSR。在购买及安装SSL证书之前,首先要在服务器上制作一个CSR文件。该文件中的公钥会用来生成私钥。

登陆到cPanel。打开控制栏,找到SSL/TLS管理器。

单击“生成、查看、上传或删除私钥”的链接。

往下滚动到“生成新密钥”部分。输入域名,或从下拉菜单中选择域名。将“密钥大小”选为2048,单击“生成”按钮。

单击“回到SSL管理器”。在主菜单中选择“生成、查看或删除SSL证书请求文件”链接。

输入组织信息。包括两位数国家代码、州名或省份名、城镇名、企业全名、部门名称(如IT部或市场部)及通用名(也就是域名)。

单击“生成”按钮。CSR就显示出来了。如果证书申请网站要求你提供CSR内容,你就将其复制到证书申请表中;如果网站要求以文件形式提供,你就要将其复制到文本编辑器中,然后储存为CSR文件。

2

申请SSL证书。提供在线SSL证书申请服务的网站有很多,一定要选择有名气的网站申请,因为这关系到你和你用户的安全。比较受欢迎的网站包括DigiCert、Symantec、GlobalSign等等。要根据自己的需求(如多个证书的申请、企业服务解决方案等)来选择最适合自己的网站。

在相关网站上申请时,需要提交CSR文件。这样你的服务器上就能生成证书了。有些网站会要求你拷贝CSR中的内容,也有网站会要求你直接上传CSR文件。

3

下载证书。在你购买证书的网站上,你需要下载一份中级证书。接着,你就会通过邮件或在网站客户区收到一份初级证书。

4

在cPanel中再次打开SSL管理器菜单。单击“生成、查看、上传或删除SSL证书”链接。单击“上传”按钮,找到你收到的证书。如果证书是文本形式的,那么就将其复制到浏览器的文本框中。

5

单击“安装SSL证书”链接。这一步将完成SSl证书的安装。重启服务器,证书就会开始分配了。

6

测试证书。用各种浏览器来测试一下SSL证书是否有效。通过“http://”来启用SSL证书,连接到你的网站。你会看到地址栏的背景是绿色的,还有一个锁状的图标。

爱豆宝贝
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
从crt证书文件得到公钥,如何从----- BEGIN CERTIFICATE -----从.crt和.pem文件获取RSA密钥?...
weixin_32141253的博客
02-22 3019
I'm having .crt and .pem file with-----BEGIN CERTIFICATE-----MIIFSDCCBDCg........................................-----END CERTIFICATE-----and I want RSA key from this file.anyone is having any idea th...
ssl证书生成图形化工具.zip
02-07
SSL证书网络安全领域中的一个重要组成部分,它主要用于加密网络通信,确保数据在传输过程中不被窃取或篡改。本文将详细介绍“ssl证书生成图形化工具.zip”中的关键知识点,包括SSL证书、XCA工具、证书生成流程以及...
openssl的介绍和使用
weixin_33912638的博客
05-21 394
openssl简介 OpenSSL 是一个开源项目,其组成主要包括一下三个组件: openssl:多用途的命令行工具 libcrypto:加密算法库 libssl:加密模块应用库,实现了ssl及tls openssl可以实现:秘钥证书管理、对称加密和非对称加密更多简介和官网。 指令 平时我们使用openssl最多的莫过于使用指令...
Go-加密学(六) - BEGIN CERTIFICATE、BEGIN RSA PRIVATE KEY和BEGIN PRIVATE KEY的区别
xiangjai的专栏
06-15 4623
1.1、-----BEGIN CERTIFICATE-----格式密钥: 1.2、-----BEGIN RSA PRIVATE KEY-----格式: 1.3、-----BEGIN PRIVATE KEY-----格式:
构建用于签名/加密双证书测试体系的可执行命令
CHYabc123456hh的博客
11-28 2343
构建用于签名/加密双证书测试体系的可执行命令
04-HTTPS证书格式及转换
River的博客
11-17 2635
本文介绍了将不同格式的HTTPS证书转换为PEM格式的方法。
关于数字证书的使用问题
ycoder的专栏
11-16 609
最近一个项目中需要使用非对称加密算法rsa对通信数据进行加密操作,加密过程中需要用到公钥证书。由于接口方提供了keytool生成的公钥证书,而我方在linux下使用openssl对公钥证书进行操作并加密。由于之前很少接触这方面的内容,在处理此业务的过程中走了不少弯路,在此将过程记录下来。一、证书格式 对方提供的公钥证书是用keytool生成的cer格式证书,这是个二进制文件,完全不知道如
本地生成SSL证书工具CreateCertGUICreateCertGUI
03-14
然而,在本地开发环境中,我们可能需要自签发的SSL证书来测试HTTPS连接,这时就用到了"CreateCertGUI"这样的工具。 "CreateCertGUI"是一个用户界面友好的本地SSL证书生成工具,它使得开发者和系统管理员无需深入...
本地ssl证书生成工具
03-19
SSL(Secure Sockets Layer)证书是互联网安全领域的重要组成部分,用于加密用户与服务器之间的通信,确保数据在传输过程中不被窃取或篡改。在本地生成SSL证书,可以帮助开发者在测试环境中模拟真实环境的安全设置,...
SSL证书生成软件、包括转换证书格式
最新发布
12-28
SSL证书生成软件、包括转换证书格式
Android APP之WebView校验SSL证书的方法
08-29
"Android APP之WebView校验SSL证书的方法" Android APP之WebView校验SSL证书的方法是Android应用程序中一个非常重要的安全机制。SSL证书校验是指Android APP中的WebView组件在访问HTTPS站点时,如何验证服务器提供...
关于证书certificate)和公钥基础设施(PKI)的一切
weixin_42073629的博客
04-30 4384
这篇长文并不是枯燥、零碎地介绍 PKI、X.509、OID 等概念,而是从前因后果、历史沿革 的角度把这些东西串联起来,逻辑非常清晰,让读者知其然,更知其所以然。 证书和 PKI 的目标其实很简单:将名字关联到公钥(bind names to public keys)。 加密方式的演进: MAC最早的验证消息是否被篡改的方式,发送消息时附带一段验证码 |双方共享同一密码,做哈希;最常用的哈希算法:HMAC | \/ Signature 解决 ...
C语言二级证书值得考吗?
weixin_54061130的博客
12-28 463
想问问大家C语言二级证书值得考吗?
证书格式的相互转换:DER、CRT、CER、PEM
行走的大山
08-19 2万+
参考: https://blog.csdn.net/xiangguiwang/article/details/76400805; https://blog.csdn.net/qq_18105691/article/details/83339101; 一、证书和编码 X.509证书,其核心是根据RFC 5280编码或数字签名的数字文档。 二、编码 .PEM格式 .PEM = PEM扩展用于不同类型的...
各种电子证书后缀名
LVXIANGAN的专栏
04-27 1万+
.cer/.crt是用于存放证书,它是2进制形式存放的,不含私钥。 .pem跟crt/cer的区别是它以Ascii来表示。 pfx/p12用于存放个人证书/私钥,通常包含保护密码,2进制方式 编码 (也用于扩展名).DER = 扩展名DER用于二进制DER编码的证书。这些证书也可以用CER或者CRT作为扩展名。比较合适的说法是“我有一个DER编码的证书”,而不是“我有一个DER证书”。.PEM ...
证书文件编码格式介绍
热门推荐
mycoolx的专栏
08-29 3万+
OpenSSL中虽然使用PEM作为基本的文件编码格式,但是,由于不同的对象其封装和标准格式不太一样,所以经常会导致读者产生迷惑。 一、数据编码格式         首先介绍一下ASN.1(Abstract Syntax Notation One)标准,这是一种描述数字对象的方法和标准。ASN1是一种结构化的数字对象描述语言,它包括两部分:数据描述语言(ISO 8824)和数据编码规则(
SSL数字证书(三)使用 openssl 生成证书
David
07-04 3721
转载自《使用 openssl 生成证书》 一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。 官网:https://www.openssl.org/source/ 构成部分 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 建立 RSA、DH...
nginx https ssl
flyten
10-10 985
4月底在NameCheap用优惠码注册了一个JunGeHost.com,并且免费赠送了一年的Positive SSL,于是顺便搞上SSL,这样传输数据也更加安全。 SSL需要有一个独立IP,也就是一个独立IP只能对应一个SSL。(什么是SSL?) 一、准备工作 1、需要Nignx已经编译ssl 模块(lnmp一键安装包已经编译安装上),如果没有需要重新编译,方法可以参考Nginx无缝升级。
debian 配置vsftp使用ssl证书连接
06-13
要在Debian上配置vsftpd使用SSL证书进行连接,您需要执行以下步骤: 1. 安装vsftpd和openssl: ``` sudo apt-get update sudo apt-get install vsftpd openssl ``` 2. 创建一个证书签名请求(CSR): ``` sudo openssl req -x509 -nodes -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.key -out /etc/ssl/certs/vsftpd.crt ``` 在执行此命令时,您将被提示输入有关您的证书的信息。确保您输入正确的信息。 3. 更改证书和私钥的权限: ``` sudo chmod 600 /etc/ssl/private/vsftpd.key sudo chmod 600 /etc/ssl/certs/vsftpd.crt ``` 4. 打开vsftpd配置文件: ``` sudo nano /etc/vsftpd.conf ``` 5. 搜索以下行并取消注释: ``` rsa_cert_file=/etc/ssl/certs/vsftpd.crt rsa_private_key_file=/etc/ssl/private/vsftpd.key ssl_enable=YES allow_anon_ssl=NO force_local_data_ssl=YES force_local_logins_ssl=YES ssl_tlsv1=YES ssl_sslv2=NO ssl_sslv3=NO require_ssl_reuse=NO ssl_ciphers=HIGH ``` 6. 保存并关闭文件。 7. 重新启动vsftpd服务: ``` sudo systemctl restart vsftpd ``` 现在,您可以使用SSL证书连接到vsftpd服务器。将FTP客户端配置为使用SSL连接,并将证书和私钥文件路径设置为新创建的文件路径(/etc/ssl/certs/vsftpd.crt和/etc/ssl/private/vsftpd.key)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值