如何申請https證書、搭建https網站

如何申請https證書、搭建https網站

　　隨着國內搜索引擎巨頭百度啓用全站https加密服務，全國掀起了網站https加密浪潮。愈來愈多的站點但願經過部署https證書來解決「第三方」對用戶隱私的嗅探和劫持。谷歌方面做爲推進網站https加密先驅，早在2010年5月份便開始提供https加密搜索服務。谷歌在算法更新中則表示「同等條件下，使用https加密技術的站點在搜索排名上更具優點」。那麼，https加密連接做爲互聯網站點應用必然趨勢，站長們該如何申請https證書，搭建https網站呢?

　　【http和https的解釋】

　　http：是互聯網上應用最爲普遍的一種網絡協議，是一個客戶端和服務器端請求和應答的標準(TCP)，用於從WWW服務器傳輸超文本到本地瀏覽器的傳輸協議。它可使瀏覽器更加高效，使網絡傳輸減小。

　　https：是以安全爲目標的http通道，簡單講是http的安全版，https的安全基礎是ssl證書，所以加密的詳細內容就須要ssl證書。https協議的主要做用能夠分爲兩種：一種是創建一個信息安全通道，來保證數據傳輸的安全;另外一種就是確認網站的真實性。詳情可查看文章：一張圖讀懂https加密協議

　　【http與https的區別】

　　http協議傳輸的數據都是未加密的，也就是明文的，所以使用http協議傳輸隱私信息很是不安全。爲了保證這些隱私數據能加密傳輸，因而網景公司設計了ssl(Secure Sockets Layer)協議用於對http協議傳輸的數據進行加密，從而就誕生了https。

　　https加密、解密、及驗證過程以下圖：

　　

　　簡單來講，https協議是由ssl+http協議構建的可進行加密傳輸、身份認證的網絡協議，要比http協議安全。

　　https和http的主要區別：

　　1、https協議須要到ca機構申請ssl證書(如沃通CA)，另外沃通CA還提供3年期的免費ssl證書http://freessl.wosign.com，高級別的ssl證書須要必定費用。

　　2、http是超文本傳輸協議，信息是明文傳輸，https 則是具備安全性的ssl加密傳輸協議。

　　3、http和https使用的是徹底不一樣的鏈接方式，用的端口也不同，http是80端口，https是443端口。

　　4、http的鏈接很簡單，是無狀態的;https協議是由ssl+http協議構建的可進行加密傳輸、身份認證的網絡協議，比http協議安全。

　　【站長如何搭建https站點】

　　說到https站點的搭建，就不得不提到ssl協議。ssl是Netscape公司率先採用的網絡安全協議。它是在傳輸通訊協議(TCP/IP)上實現的一種安全協議，採用公開密鑰技術。ssl普遍支持各類類型的網絡，同時提供三種基本的安全服務，它們都使用公開密鑰技術。

　　ssl的做用：

　　1)認證用戶和服務器，確保數據發送到正確的客戶機和服務器;

　　2)加密數據以防止數據中途被竊取;

　　3)維護數據的完整性，確保數據在傳輸過程當中不被改變。

　　而ssl證書指的是在ssl通訊中驗證通訊雙方身份的數字文件，通常分爲服務器證書和客戶端證書，咱們一般說的ssl證書主要指服務器ssl證書。ssl證書由受信任的數字證書頒發機構CA(如沃通WoSign)，在驗證服務器身份後頒發，具備服務器身份驗證和數據傳輸加密功能。分爲擴展驗證型EV ssl證書、組織驗證型OV ssl證書、和域名驗證型DV ssl證書。

　　【ssl證書申請的3個主要步驟】

　　一、製做CSR文件

　　所謂CSR就是由申請人制做的Certificate Secure Request證書請求文件。製做過程當中，系統會產生2個密鑰，一個是公鑰就是這個CSR文件，另一個是私鑰，存放在服務器上。要製做CSR文件，申請人能夠參考WEB SERVER的文檔，通常APACHE等，使用OPENssl命令行來生成KEY+CSR2個文件，Tomcat，JBoss，Resin等使用KEYTOOL來生成JKS和CSR文件，IIS經過嚮導創建一個掛起的請求和一個CSR文件。

　　二、CA認證

　　將CSR提交給CA，CA通常有2種認證方式：

　　1)域名認證：通常經過對管理員郵箱認證的方式，這種方式認證速度快，可是簽發的證書中沒有企業的名稱;

　　2)企業文檔認證：須要提供企業的營業執照。

　　也有須要同時認證以上2種方式的證書，叫EV ssl證書，這種證書可使IE7以上的瀏覽器地址欄變成綠色，因此認證也最嚴格。

　　三、證書安裝

　　在收到CA的證書後，能夠將證書部署上服務器，通常APACHE文件直接將KEY+CER複製到文件上，而後修改httpD.CONF文件;TOMCAT等，須要將CA簽發的證書CER文件導入JKS文件後，複製上服務器，而後修改SERVER.XML;IIS須要處理掛起的請求，將CER文件導入。

　　使用ssl證書不只能讓信息的安全性更有保障，還能夠提升用戶對於網站的信任度。但鑑於對建站成本的考慮，不少站長對其望而卻步。在網絡上免費始終是一個永遠不過期的市場，主機空間有免費的，而ssl證書天然也有免費的，此前，便有消息稱，Mozilla、思科、Akamai、IdenTrust、EFF、以及密歇根大學的研究人員將開啓Let’s Encrypt CA項目，計劃從今夏開始，爲網站提供免費ssl證書以及證書管理服務(注：如需更高級的複雜證書，則需付費)。另外，沃通wosign目前已經推出了3年期的多域名免費ssl證書，證書到期後能夠免費續期，支持綁定多個域名、支持證書狀態在線查詢協議(OCSP)、支持中文、全球瀏覽器信任，任何我的均可以從沃通CA申請到免費的ssl證書，只要你有網站。

　　而須要高級別ssl 證書的每每是大中型網站，如網上銀行、購物網站、金融證券、政府機構等，諸如我的博客之類的小型站點徹底能夠先嚐試免費ssl證書。

　　從商業機構到政府部門再到我的家庭，愈來愈多的用戶使用網絡來處理事務，交流信息和進行交易活動，這些都不可避免地涉及到網絡安全問題，尤爲是認證和加密問題。特別是在網上進行購物交易活動中，必須保證交易雙方可以互相確認身份，安全地傳輸敏感信息，過後不可否認交易行爲，同時還要防止他人截獲篡改寶貴信息或假冒交易方。那麼，咱們該如何提升站點信息的安全性呢?目前最簡單的解決方案就是利用ssl安全技術來實現WEB的安全訪問。