Java Web学习总结(31)——全站HTTPS化SSL免费证书使用

最新推荐文章于 2023-11-14 11:08:16 发布
最新推荐文章于 2023-11-14 11:08:16 发布
阅读量98 收藏
点赞数
原文链接:http://www.cnblogs.com/zhanghaiyang/p/7212713.html
版权
1 背景

谷歌从 2017 年起,Chrome 浏览器将也会把采用 HTTP 协议的网站标记为「不安全」网站;苹果从 2017 年 iOS App 将强制使用 HTTPS;在国内热火朝天的小程序也要求必须使用 HTTPS 请求。


2 SSL证书类型

通常来说,SSL 证书分为三大类,他们的安全性是递增的,当然价格和安全系数成正比。

  1. DV (Domain Validation Certificate)   DV 证书适合个人网站使用,申请证书时,CA 只验证域名信息。几分钟之内就能签发。
  2. OV ( Organization Validation Certificate)  OV 证书需要认证公司的信息。1-2天签发。
  3. EV ( Extended Validation Certificate)   EV 证书的认证最为严格,一般会要求提供纸质材料。签发时间也较久。

备注:

  • 个人博客、网站,选择 DV 证书即可; 
  • 企业网站,但还不想付费,可以选择 DV 证书; 
  • 综合性的企业门户网站,可以选择 OV 证书; 
  • 金融、电商企业网站,选择 EV 证书。


3 SSL证书供应商简单对比

a. Let's Encrypt是国外一个公共的免费SSL项目,由 Linux 基金会托管,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,目的就是向网站自动签发和管理免费证书,以便加速互联网由HTTP过渡到HTTPS。

b. StartSSL 是 StartCom 公司旗下的 SSL 证书,应该算是免费 SSL 证书中的鼻祖,最早提供完全免费的 SSL 证书并且被各大浏览器所支持的恐怕就只有 StartSSL 证书了。首次申请 StartSSL 免费SSL证书是免费一年,但是你可以在第二年继续续期。

c. 七牛免费SSL 七牛最近和亚洲诚信合作推了赛门铁克 Symantec 签发的 DV 证书。

对比结果:

  • 申请便利性:StartSSL和七牛的申请起来都相对便利,Let's Encrypt对环境要求比较多。
  • 有效期:StartSSL和七牛都是一年,Let's Encrypt 90天。
  • 证书兼容性:StartSSL 的一年免费 DV SSL 已经被 Chrome、Mozilla 封杀。要慎重选择。Let's Encrypt总体来说兼容性还不错,不过肯定是赛门铁克的兼容性最好。
  • 售后:免费证书其实基本都没啥售后可言,Let's Encrypt 基本上只能求助于社区,StartSSL和七牛都有官方客服可以咨询,七牛对中文服务的支持更好。

4 常见问题

1.七牛目前提供的是哪种证书?

七牛云目前提供的是 DV 单域名证书。

  • 证书品牌:亚洲诚信(赛门铁克Symantec签发)

  • 证书类型:DV SSL单域名证书  

  • 证书价格:七牛云用户免费(原价1900元/年)


2.DV SSL证书申请需要多久?

DV SSL证书无需验证所有者资质资料,审核流程相对简单,因此可快速签发。但部分域名信息可能会触发不同等级的安全审查机制,必要时需要人工介入进行审查签发,因此,SSL证书签发时间可能会从10几分钟到24小时不等。如果您的证书仍在审核中,请耐心等待。 


3.申请了主域名SSL证书,是否还需要申请www域名的?(关心最多的单域名、多域名、泛域名问题)

申请主域名如 qiniu.com 的SSL证书,默认会在证书域名中添加www域名如 www.qiniu.com,因此无需重复申请;

同样,如果您申请www的二级域名,将同时为您添加主域名使用权限。但如果您是申请的三级域名,如 www.abc.qiniu.com,则只能支持该域名,不会支持 abc.qiniu.com。


4.为什么会出现安全审核失败?

用户域名中包含非法关键字可能导致安全审核失败,非法关键字由CA定义,例如cctv,icbc等。安全审核失败后,请更换域名或更换用户信息重新提交。
提交证书申请时,申请信息不要包含中文,否则可能出现“安全审查失败”。中文信息建议用拼音代替。


5.常见的证书申请状态有哪些?
在申请证书过程中,可能出现以下状态:

  • 域名循环验证中:已提交证书申购,等待用户DNS验证域名所有权。
  • 已完成:证书验证成功并已签发证书,可以使用。
  • DNS验证超时:超过一定时间没有去DNS验证。
  • 订单被拒绝/安全审核失败:用户短时间多次提交或重复信息提交订单;域名中包含非法关键字导致安全审核失败。
  • 提交订单审核不通过:由CA机构判定,域名涉及敏感字段或钓鱼域名,无法提交订单,无法人工处理。

5 申请流程

1.在个人面板-》证书管理申请证书。


2.申请完证书后跳转到 证书列表 而不是 订单列表,具体设置要在订单列表中完成。


3.DNS 验证

a. 记录类型选择 CNAME

b. 主机记录填写 cnamekey,点击复制 Key 是复制全部字段(注:万网和DNSpod平台cnamekey不需要主域名部分),见图

c. 记录值填写cnamevalue,复制全部字段,见图

d. 其他选项默认即可,见图


e. CName Key 的 DNS 解析指向 CName Value 操作完成后,系统会循环自动检测验证,最长不超过24小时,您可以用 dig 命令来自我检测下DNS解析是否配置成功,见图


转载于:https://www.cnblogs.com/zhanghaiyang/p/7212713.html

weixin_34320724
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java如何跳过httpsssl证书验证详解
08-25
主要介绍了Java跳过httpsssl证书验证的解决思路,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,下面我们来深入学习下吧
java生成SSL证书并添加信任,tomcat配置https访问并解决扫描漏洞问题
mr__bai的博客
12-27 7245
Keytool 是一个 Java 数据证书的管理工具 ,Keytool 将密钥(key)和证书(certificates)存储于一个称为 keystore 的密钥库文件中。
Java生成SSL证书
孤山之王
08-27 5047
JAVA生成SSL证书,可以在HTTPS使用
Java信任所有SSL证书HTTPS请求抛错,忽略证书请求
qq_52071730的博客
02-05 2264
Java 信任所有SSL证书HTTPS请求抛错,忽略证书请求
解决证书信任问题:各种环境导入SSL证书
二歪的防痴呆笔记
06-15 2323
当服务端的SSL证书(下称:My证书使用的是自签名证书、或者是证书兼容性较差,在客户端或API调用方(角色相当于是客户端)的中没有包含信任My证书证书签发机构证书时,客户端可能出现报错,浏览器提示此网站的安全证书存在问题,用户可通过选择“继续浏览此网站”访问网站,影响使用体验。如果服务器端出现这个问题,接口直接无法调用,业务将受到影响。
java 服务证书问题-生成jssecacerts CA证书
小五
11-14 447
拷贝证书文件jssecacerts到Java安装路径\jre\lib\security下并重启服务。执行成功以后在当前的目下生成 jssecacerts 文件。新建InstallCert.java文件。
java信任SSL证书的工具类
10-31
java信任SSL证书的工具类 忽略HTTPS请求的SSL证书,必须在openConnection之前调用
ssl证书生成图形工具.zip
02-07
很好的额ssl证书 生成和管理工具,方便下载
免费SSL证书申请,Docker容器搭建Nginx配置HTTPS
05-18
申请免费SSL证书,用docker容器搭建Nginx服务端,详细的Nginx配置ssl证书的方法。
mkcert自制SSL本地证书部署到Nginx并https信任使用
最新发布
04-28
mkcert自制SSL本地证书部署到Nginx并https信任使用
WEB应用中使用基于数字证书的登录验证
06-10
WEB应用中使用基于数字证书的登录验证
Java代码解决Https请求出现的SSL证书验证问题
answer94的博客
10-30 7249
https请求出现的SSL证书验证问题,异常信息如下: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: una...
使用java进行SSL证书的签名与签验
a_c_c_a的专栏
01-11 4318
一、签名与签验的含义 签名:客户端使用私钥对字符串加密,得到一个加密后的字符串 签验(签名验证):服务端使用公钥对字符串加密,验证加密后的字符串是否和客户端签名后一样 二、创建私钥、证书等文件 在linux中执行一下命令,生成所需的各个文件 1.手动生成私钥pri.key openssl genrsa -des3 -passout pass:123456 -out pri.key 2048 2.生成pkcs8 openssl pkcs8 -topk8 -in pri.key...
web.xml中配置http访问转向https
普普通通
12-07 5139
<br /> <login-config><br />  <auth-method>CLIENT-CERT</auth-method>  <br />  <realm-name>Client Cert Users-only Area</realm-name>  <br /> </login-config>  <br /> <security-constraint>  <br />  <web-resource-collection >  <br />   <web-resource-name >SSL</w
Tomcat配置httpsJAVA生成ssl证书,http和https双向配置
Fadess的博客
07-13 2701
Tomcat配置证书生成SSL证书HTTPS配置、HTTP配置、JAVA生成SSL证书
ssl认证、证书java中的ssl语法API说明(SSLContext)、与keytool 工具的联系
m0_45406092的博客
04-04 2890
java中,我们经常需要使用SSL/TLS连接,这种连接是加密连接,https之类的基于TCP/IP协议的应用层协议加密传输,也经常基于这种加密连接,这种连接jdk底层已经提供了默认的实现,并且是基于jdk中的keystroe证书库实现的认证。默认的SocketFactory实现ssl连接时,是基于这个默认的证书库的实现,因此当遇到证书库中不存在的证书时,就会出现ssl连接异常的问题。或者将不信任的证书安装到中解决问题。
Java导入SSL证书参考手册
weixin_45578041的博客
12-29 2126
Java程序进行HTTPS通信发生如下错误:这是因为访问的服务器的链接是https,系统涉及与第三方支付平台交易,通讯协议为HTTPS单向认证交易时报错,异常信息主要意思为服务器提供的证书不被我们客户端信任。要解决这个问题需要将安全证书导入到java的cacerts证书库中。本文以导入vbooking安全证书为例,讲解具体操作步骤。
java SSL证书请求(需要处理器链 chain.pem和私钥privateKey.key)
月夜流心的博客
12-12 766
首先安装openSSL环境,linux或者windows都可以。
java生成ssl证书和部署
qq_40147106的博客
06-15 2092
自签名SSL证书生成自签证书虽然提示:不安全。但还是有很多的好处,所以下面先说说自签证书生成,主要使用Java JDK下的:keytool.exe2:安装完后,根据实际的路径找到keytool.exe,如我的在此路径:C:\Program Files (x86)\Java\jdk1.8.0_101\bin\keytool.exe3:生成keystore。打开命令行(cmd),去到keytool所在的路径,运行:keytool -genkey -alias tomcat -storetype PKCS12
java https 绕过ssl证书
06-28
### 回答1: Java是一种流行的面向对象编程语言,可以用于开发各种类型的应用程序,包括Web应用程序。HTTPS是一种用于Web应用程序的安全协议,它使用SSL/TLS加密通信以保护数据的安全传输。SSL证书HTTPS协议的重要组成部分,它用于验证Web服务器的身份,防止中间人攻击。 然而,有时开发人员需要绕过SSL证书,这种情况通常发生在开发、测试或调试阶段。在Java中,可以使用以下代码绕过SSL证书: ``` TrustManager[] trustManagerArray = new TrustManager[] { new X509TrustManager() { public X509Certificate[] getAcceptedIssuers() { return null; } public void checkClientTrusted(X509Certificate[] certs, String authType) { } public void checkServerTrusted(X509Certificate[] certs, String authType) { } } }; SSLContext sslContext = SSLContext.getInstance("SSL"); sslContext.init(null, trustManagerArray, new SecureRandom()); HttpsURLConnection.setDefaultSSLSocketFactory(sslContext.getSocketFactory()); ``` 以上代码中,我们创建了一个TrustManager数组,并使用X509TrustManager的实现类来实现 getAcceptedIssuers()、checkClientTrusted()和checkServerTrusted()方法。在checkServerTrusted()方法中,我们不进行任何检查,这样就可以绕过SSL证书。 然后,我们使用SSLContext来创建一个默认的SSLSocketFactory对象,并调用setDefaultSSLSocketFactory()方法将其设置为默认的SSLSocketFactory。这样,我们就可以绕过SSL证书使用不受信任的证书建立安全连接。 需要注意的是,绕过SSL证书不是安全的做法,只能在开发和测试过程中使用。在生产环境中,必须使用受信任的SSL证书来保护数据的安全传输。 ### 回答2: Java是一种流行的编程语言,其提供了许多操作网络的工具和函数库。其中,HTTPS是一种安全的HTTP协议,可以使用SSL证书来验证身份和保护数据传输。但有时候,我们需要绕过SSL证书以访问某些网站或服务。本文将介绍如何在Java中实现绕过SSL证书的方法。 在Java中,我们可以使用JSSE(Java Secure Socket Extension)库来操作SSL协议。JSSE提供了TrustManager和HostnameVerifier两个接口,用于验证SSL证书和主机名。我们可以自定义这两个接口的实现,以达到绕过SSL证书的目的。 下面给出两种实现方式: 1. 自定义TrustManager TrustManager是验证服务器证书的接口。我们可以自定义一个TrustManager的实现,使之信任所有证书。代码如下: ``` TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() { public java.security.cert.X509Certificate[] getAcceptedIssuers() { return null; } public void checkClientTrusted(X509Certificate[] certs, String authType) { } public void checkServerTrusted(X509Certificate[] certs, String authType) { } } }; SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(null, trustAllCerts, new java.security.SecureRandom()); HttpsURLConnection.setDefaultSSLSocketFactory(sslContext.getSocketFactory()); ``` 上述代码中,我们自定义了一个TrustManager,并将它加入到SSLContext中。然后,我们将默认的SSLSocketFactory替换成了我们自定义的sslContext的SocketFactory。 2. 自定义HostnameVerifier HostnameVerifier用于验证主机名。我们可以自定义一个HostnameVerifier的实现,使之信任所有主机名。代码如下: ``` HostnameVerifier allHostsValid = new HostnameVerifier() { public boolean verify(String hostname, SSLSession session) { return true; } }; HttpsURLConnection.setDefaultHostnameVerifier(allHostsValid); ``` 上述代码中,我们自定义一个HostnameVerifier,并将其设置为默认的HostnameVerifier。 通过以上两种方式,我们可以绕过SSL证书,但这样做可能会造成安全隐患。因此,我们应该谨慎使用,尽可能避免绕过SSL证书。 ### 回答3: SSL证书是一种安全证书,用于对互联网上的信息进行加密和验证身份。Java是一种计算机编程语言,通常用于开发Web应用程序和网络服务。在访问HTTPS网站时,Java会默认检查SSL证书是否有效,如果证书无效,则会阻止访问。不过,有时候我们需要绕过SSL证书,这种情况通常出现在安全测试或调试过程中。 有多种方法可以绕过JavaSSL证书检查,其中最常见的方法是使用自定义信任管理器。Java中的信任管理器用于验证远程服务器的标识,从而决定是否信任该服务器。我们可以自定义一个信任管理器来绕过证书检查。以下是实现步骤: 1.实现自定义的X509TrustManager。这个类继承java.security.cert.X509Certificate,并重写checkClientTrusted()和checkServerTrusted()方法。这两个方法用于验证客户端和服务器的身份,我们可以在这里实现绕过证书验证并输出日志。 2.创建SSLContext对象。SSLContext是用于建立SSL连接的协议对象,我们需要创建一个支持我们自定义的信任管理器的SSLContext对象。使用默认协议,可以通过以下代码实现: ``` SSLContext sc = SSLContext.getInstance("SSL"); sc.init(null, new TrustManager[] { new MyTrustManager() }, new java.security.SecureRandom()); ``` 3.创建HttpsURLConnection对象。HttpURLConnection是用于发送HTTP请求的Java类,HttpsURLConnection则是Https协议的连接对象,我们需要使用HttpsURLConnection对象来发送HTTPS请求。 ``` URL url = new URL("https://www.example.com"); HttpsURLConnection conn = (HttpsURLConnection) url.openConnection(); ``` 4.设置SSLContext和HostnameVerifier。将我们自定义的SSLContext和一个实现了HostnameVerifier接口的对象(用于验证域名)设置到连接对象中。 ``` conn.setSSLSocketFactory(sc.getSocketFactory()); conn.setHostnameVerifier((hostname, session) -> true); ``` 5.执行请求并读取响应。发送请求并读取响应,此时将自动检测SSL证书并绕过验证。 ``` InputStream in = conn.getInputStream(); // do something with input stream ``` 需要注意的是,绕过SSL证书验证可能会导致安全风险,不应在生产环境中使用。在测试和调试时,务必小心谨慎,并注意保护您的机密信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值