https叫超文本传输协议,经由HTTP进行通信,利用SSL/TLS建立全信道,加密数据包。HTTPS使用的主要目的是提供对网站服务器的身份认证,同时保护交换数据的隐私与完整性。
HTTPS有三大特点:
1、内容加密:采用混合加密技术,中间者无法直接查看明文内容;
2、验证身份:通过证书认证客户端访问的是自己的服务器;
3、保护数据完整性:防止传输的内容被中间人冒充或者篡改。所以https化的企业网站,可以保证数据传输过程中的安全与完整。
下面来说一下如何申请SSL证书及配置https
1. 申请免费证书(以上都是在实名认证的情况下)
腾讯云: https://console.cloud.tencent.com/ssl
阿里云:https://www.aliyun.com/sswd/458133-1.html
2. Apache 服务器国密证书安装
1. 安装编译工具:如果您的系统是全新的,请先在服务器上安装 C++ 开发环境,为编译提供环境支持。您可以使用如下命令进行安装。
yum install -y gcc yum install -y gcc-c++
2. 下载并编译安装 apr(以 apr 1.7.0 版本为例),您可以通过在服务器上输入以下命令,下载 apr 至服务器并编译安装,由于操作系统的版本不同,详细操作步骤略有区别。
#切换至 /usr/local/ 目录下cd /usr/local/ #下载 apr 1.7.0wget -c http://mirror.bit.edu.cn/apache/apr/apr-1.7.0.tar.gz#解压已下载的 apr 1.7.0 压缩包tar -zvxf apr-1.7.0.tar.gz#进入解压后的 apr 1.7.0 文件夹并指定编译目录路径。cd apr-1.7.0/./configure --prefix=/usr/local/apr#编译安装 aprmake && make install
3. 下载并编译安装 apr-util(推荐使用 apr-util-1.5 版本,以 apr-util-1.5 版本为例).
#切换至 /usr/local/ 目录下cd /usr/local/ #下载 apr-util-1.5.4wget -c http://archive.apache.org/dist/apr/apr-util-1.5.4.tar.gz#解压已下载的 apr-util-1.5.4 压缩包tar -zvxf apr-util-1.5.4.tar.gz #进入解压后的 apr-util-1.5.4 文件夹并指定编译目录路径。cd /usr/local/apr-util-1.5.4/./configure --prefix=/usr/local/apr-util --with-apr=/usr/local/apr#编译安装 apr-utilmake && make install
4. 安装 pcre。您可以通过以下两种方式进行安装。
推荐使用 yum 进行安装。
yum install -y pcre-devel
编译安装。
#切换至 /usr/local/ 目录下cd /usr/local/ #下载 pcre-8.43wget -c https://ftp.pcre.org/pub/pcre/pcre-8.43.tar.gz#解压已下载的 pcre-8.43 压缩包tar -zvxf pcre-8.43.tar.gz#进入解压后的pcre-8.43文件夹并指定编译目录路径。cd pcre-8.43/./configure --prefix=/usr/local/pcre #编译安装 pcremake && make install
5. Apache 服务器安装:上述三个文件编译安装完成后,请下载 Apache 国密版和国密模块至 /usr/local 目录下进行编译安装。
#下载 Apache 国密版wget -c https://www.wotrus.com/download/apache-2.4.39_gm.tar.gz#下载国密模块wget -c https://www.wotrus.com/download/wotrus_ssl.tar.gz#解压已下载的 wotrus_ssl 压缩包tar -zvxf wotrus_ssl.tar.gz #解压已下载的 pache-2.4.39_gm 压缩包tar -zvxf apache-2.4.39_gm.tar.gz #进入解压后的pcre-8.43文件夹并指定编译目录路径。cd httpd-2.4.39_gm/./configure --prefix=/usr/local/httpd --enable-so --enable-ssl --enable-cgi --enable-rewrite --enable-modules=most --enable-mpms-shared=all --with-mpm=prefork --with-zlib --with-apr=/usr/local/apr --with-apr-util=/usr/local/apr-util --with-ssl=/usr/local/wotrus_ssl #编译安装 Apachemake && make install
3. 国密标准证书安装
1. 已在 SSL 证书管理控制台 中下载并解压缩 www.shouweiyun.com 证书文件包到本地目录。
解压缩后,可获得相关类型的证书文件。其中包含 Apache 文件夹和 CSR 文件:
文件夹名称:Apache
文件夹内容:
1_root_sign_bundle.crt 证书文件
2_root_encrypt_bundle.crt 证书文件
3_cloud.tencent.com_sign.crt 证书文件
4_cloud.tencent.com_encrypt.crt 证书文件
5_cloud.tencent.com.key 私钥文件
CSR 文件内容:
cloud.tencent.com_sign.csr 文件
cloud.tencent.com_encrypt.csr 文件
2. 使用 “WinSCP”(即本地与远程计算机间的复制文件工具)登录 Apache 服务器。
3. 进入 /usr/local/apache/conf 目录,新建 cert 目录,将已获取到的 1_root_sign_bundle.crt 证书文件、2_root_encrypt_bundle.crt 证书文件、3_cloud.tencent.com_sign.crt 证书文件、4_cloud.tencent.com_encrypt.crt 证书文件以及 5_cloud.tencent.com.key 私钥文件从本地目录拷贝到 Apache 服务器的 /usr/local/apache/conf/cert 目录下。
4. 进入 /usr/local/apache/conf 目录,按照以下步骤编辑 httpd.conf 文件:
请在 #ServerName www.example.com:80 下增加 ServerName(您的域名):80。
请去掉 LoadModule ssl_module modules/mod_ssl.so 前的 #。
请在 #Include conf/extra/httpd-ssl.conf 下增加 Include conf/ssl.conf 文件内容后保存并退出。
5. 在 /usr/local/httpd/conf 目录下,新建一个 ssl.conf 文件,添加如下配置:
Listen 443*:443>#填写证书名称ServerName cloud.tencent.com#填写网站文件路径DocumentRoot website根目录#启用 SSL 功能SSLEngine on# SM2 证书 sign 配置SSLCertificateFile /usr/local/httpd/conf/cert/3_cloud.tencent.com_sign.crt SSLCertificateKeyFile /usr/local/httpd/conf/cert/5_cloud.tencent.com.keySSLCertificateChainFile /usr/local/httpd/conf/cert/1_root_sign_bundle.crt# SM2 证书 encrypt 配置SSLCertificateFile /usr/local/httpd/conf/cert/4_cloud.tencent.com_encrypt.crtSSLCertificateKeyFile /usr/local/httpd/conf/cert/5_cloud.tencent.com.keySSLCertificateChainFile /usr/local/httpd/conf/cert/2_root_encrypt_bundle.crt# sign 和 encrypt 配置中的 .key 为同一个#请按照以下协议配置SSLProtocol all -SSLv2 -SSLv3#请按照以下套件配置,配置加密套件,写法遵循 openssl 标准。SSLCipherSuite SM2-WITH-SMS4-SM3:ECDH:AESGCM:HIGH:MEDIUM:!RC4:!DH:!MD5:!aNULL:!eNULLSSLHonorCipherOrder on"website根目录">Options -Indexes -FollowSymLinks +ExecCGIAllowOverride NoneOrder allow,denyAllow from allRequire all granted
6. 您通过执行以下命令验证配置文件问题
/usr/local/httpd/bin/httpd -t
若提示 Syntax OK,则表示配置正常,可以启动 Apache 服务器。
若提示非 Syntax OK,请您重新配置或者根据提示修改存在问题。
7. 执行以下命令重新启动 Apache 服务器,即可使用 https://cloud.tencent.com 进行访问.
/usr/local/httpd/bin/httpd -k restart
完成后即可使用https:www.shouweiyun.com访问啦,今天先简单的介绍一下Https的应用附上链接:
腾讯云: Apache
https://cloud.tencent.com/document/product/400/47359
https://cloud.tencent.com/document/product/400/47360
https://cloud.tencent.com/document/product/400/47361
大道殊途同归,不仅仅是看懂还得理解,每个操作都需要理解意义.后期预告会给大家推荐一个SSL管理的工具及平台.
https://freessl.org