随着网络的发展,网络安全变得越来越重要。对于网站来说,从Http升级到https也是我们首先要做的事情。要实现https,首先需要申请一个SSL证书。本文主要介绍以下几个方面:
1.SSL简介
2.免费的Letencrypt证书部署
3.安装注意事项
SSL简介
Ssl作为一种网络加密协议,主要是系统中应用层和传输层之间的安全套接字层,即TCP/IP协议和各应用层协议之间的协议,为应用数据传输提供加密。当然分为两部分:记录协议和握手协议。在这里,有兴趣的可以多了解一下。我先简单介绍一下程序上的东西。
其工作流程可以理解为:客户端向服务器发起网络请求,发起握手,交换证书信息,建立连接。简单来说,分为以下几个部分:
客户端:向服务器发送其支持的ssl版本和加密方法。
服务器:选择加密方法,并将证书和公钥发送给客户端。
客户端:验证证书信息,通过公钥生成共享密钥,交换。
服务器:好的,我们可以传输加密数据。
以上是握手过程的简单描述。每一步都可以进一步分解,可以自己找相关文档进一步了解。
这里需要介绍的另一个协议TLS是基于SSL3.0规范的,更加严格和明确。它还有一个叫做SNI(服务器名称指示-服务器名称指示)的扩展协议。下面介绍一下它的主要功能。
在我们常见的主机中,可能有很多站点。我们不可能一次性提前知道所有会使用这个服务器的域名列表,但也不可能每次修改域名都重新发证书。因此,通过SNI,我们可以在一台主机上部署多个证书,这样服务器就可以在握手阶段选择正确的虚拟域,并发送相应的证书。在IIS 8.0及以上版本中,当我们绑定域名时,我们将有以下选项:
目前有很多免费和收费的ssl证书提供商供我们选择。当然,我们也可以自己做ssl证书作为颁发主体。但是,谷歌等浏览器会给不可信的证书颁发机构带来安全风险,并阻止访问,这对用户体验非常不利。根据安全级别,当前的ssl证书主要分为以下几类:
EV -业界顶级SSL证书。对于部署了EV SSL证书的网站,地址栏会变成醒目的绿色,并显示网站所属企业的名称。
OV -广泛应用于企业认证SSL证书。OV SSL证书部署后,地址栏会出现一个安全锁标志。
DV -只验证域名,快速颁发SSL证书。安全锁徽标也显示在地址栏中,但O字段、用户名和域名不显示在证书详细信息中。
目前很多主流浏览器认可的SSL证书权威机构发布的免费证书都是以DV-rated为主。我来介绍一下大家熟知的windows下Letencrypt免费ssl证书的近期部署过程。
二。免费的Letencrypt证书部署
这是一个由国外发起的免费ssl项目,现在已经得到了Google等主流浏览器的认可。从安全角度来说,通过Letencrypt安装的免费证书只有三个月的有效期,过期需要重新申请。但也给部署带来一些麻烦,所以政府也提供了各种自动化解决方案。这里我介绍一下windows下的证书申请和自动更新工具letsencrypt-win-simple。
首先我们下载GitHub地址(https://GitHub . com/lone -coder/letsencrypt -win -simple/releases)并解压。
因为安装过程需要在站点下生成验证文件,所以请在管理员模式下进入cmd界面,或者右击开始菜单,点击命令提示符(管理员)选项。
进入解压后的文件夹,运行letsencrypt.exe --SAN命令。
执行后,IIS下的所有网站都会自动列出,并有以下选项:
这些选项对应不同的情况。在这里,因为我的机器下有几个站点,所以我想给它们颁发一个证书。我选S,然后它会提示你输入要安装的站点的序列号。在这里,我将输入3和4。
接下来,它将在每个站点下创建一个内部验证文件。验证后,它将生成一个相应的证书添加到IIS中。如果一切正常,它将在任务管理中创建一个计划更新任务。
目前这个软件还存在一些bug。我个人在安装中遇到过几次异常终止错误。正常只需要两次就能通过。如果也遇到问题,可以直接去IIS下的证书管理,看看是否已经创建了相应的证书。如果存在,可以手动绑定。
三。有关注意事项
使用Letencrypt时有一定的次数限制,防止滥用应用程序。以下是官网给出的限制信息:
如果您有许多子域,您可能希望将它们合并到一个证书中,每个证书最多可包含100个名称。结合上述限制,这意味着您可以每周颁发包含多达2,000个唯一子域名的证书。具有多个名称的证书通常称为SAN证书,有时也称为UCC证书。
我们还有一个重复证书的限制,每周5个证书。如果一个证书包含完全相同的主机名集合,忽略主机名的大小写和顺序,则该证书被视为早期证书的副本。例如,如果您为名称[www.example.com,example.com]申请一个证书,您可以在一周内为[www.example.com,example.com]再申请四个证书。如果您通过添加[blog.example.com]来更改名称集,您将能够请求附加证书。
如果你需要测试,你可以在命令行上执行它:letsencrypt.exe --测试。进入测试环境。
以上是小编介绍的windows下部署免费ssl证书(letsencrypt)的方法。希望对你有帮助。如有疑问,欢迎给我留言,小编会及时回复您。非常感谢大家对主机频道zhujipindao的支持。com网站!
评论前必须登录!
注册