■ 河北科技師范學(xué)院 趙學(xué)作 秦皇島市睿訊網(wǎng)絡(luò)科技有限公司 趙少農(nóng)

編者按：HTTPS是以安全為目標(biāo)的HTTP通道，用于安全的HTTP數(shù)據(jù)傳輸?，F(xiàn)在它被廣泛用于萬(wàn)維網(wǎng)上安全敏感的通訊，例如交易支付方面。

網(wǎng)站沒有使用HTTPS時(shí)，瀏覽器會(huì)報(bào)不安全，而且在別人訪問(wèn)該網(wǎng)站時(shí)，很有可能會(huì)被運(yùn)營(yíng)商劫持。

申請(qǐng)CA證書

如果要啟用HTTPS，需要從證書授權(quán)機(jī)構(gòu)處獲取一個(gè)證書，便宜SSL是一家國(guó)內(nèi)的SSL證書提供商，從https://www.pianyissl.com/#/order/buy就可以申請(qǐng)擁有免費(fèi)證書。登錄后，選擇“體驗(yàn)版單域名SSL”的”免費(fèi)測(cè)試”,根據(jù)提示操作并通過(guò)驗(yàn)證即可。

獲取服務(wù)器證書文件

下載證書ZIP壓縮包，會(huì)得到多個(gè)證書，包括：IIS、Apache、Tomcat、Nginx等多種WEB服務(wù)器的證書。

搭建HTTPS安全網(wǎng)站

1.Windows IIS7/8安裝

（1）將證書壓縮包后解壓，找到壓縮后的目錄里的“/IIS/”目錄下的server.pfx文件，放到服務(wù)器中。

（2）進(jìn) 入IIS管 理 控制臺(tái)的服務(wù)器證書管理頁(yè)面，右鍵選擇“導(dǎo)入”，選擇server.pfx文件，并輸入密鑰文件保護(hù)密碼（即IIS/目錄下的password.txt中的密碼內(nèi)容），并勾選“標(biāo)志此密鑰為可導(dǎo)出”，否則有些情況可能會(huì)無(wú)法完成證書安裝。。

（3）選中需要配置證書的站點(diǎn)，并選擇右側(cè)“編輯站點(diǎn)”下的“綁定” ，選中您剛才安裝的服務(wù)器證書文件 ，配置默認(rèn)的https訪問(wèn)端口443，重啟IIS并使用https方式訪問(wèn)測(cè)試站點(diǎn)證書安裝。 （一定保證防火墻允許443端口）。

（4）重啟動(dòng)IIS后即可以https方式訪問(wèn)此網(wǎng)站了。

2.Nginx安裝服務(wù)器證書

復(fù) 制server.key、server.crt 文件到 Nginx安裝目錄下的 conf 目錄。

打開 Nginx 安裝目錄下conf 目錄中的 nginx.conf文件

找到如止下內(nèi)容：

#HTTPS server

#

#server {

# listen 443;

# server_name localhost;# ssl on;

# ssl_certificate cert.crt;

# ssl_certificate_key cert.key;

# ssl_session_timeout 5m;

# ssl_protocols SSLv2 SSLv3 TLSv1;

# ssl_ciphers AL L:!ADH:!EXPORT56:R C4+RSA:+HIGH:+MED IUM:+LOW:+SSLv2:+EXP;

# ssl_prefer_server_ciphers on;

# location / {

# root html;

# index index.html index.htm;

# }

#}

將其修改為

server {

listen 443;

server_name localhost;

ssl on;

ssl_certificate server.crt;

ssl_certificate_key server.key;

ssl_session_timeout 5m;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers ECDH:AES GCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;

ssl_prefer_server_ciphers on;

location / {

root html;

index index.html index.htm;

}

}

保存退出，并重啟Nginx。

通過(guò) https 方式訪問(wèn)您的站點(diǎn)，測(cè)試站點(diǎn)證書的安裝配置。

3.Apache 2.2.* 的配置

打開apache安裝目錄下conf目錄中的httpd.conf文件，找到

#LoadModule ssl_module modules/mod_ssl.so

#Include conf/extra/httpd-ssl.conf

刪除行首的配置語(yǔ)句注釋符號(hào)“#” ，保存退出。

打開apache安裝目錄下conf/extra目錄中的httpd-ssl.conf文件 ，在配置文件中查找以下配置語(yǔ)句

SSLCertificateFile conf/ssl.crt/server.crt#將服務(wù)器證書配置到該路徑下

SSLCertificateKeyFile conf/ssl.key/server.key#將服務(wù)器證書私鑰配置到該路徑下

#SSLCertificateChainF ile conf/ssl.crt/ca.crt刪除行首的“#”號(hào)注釋符，并將CA證書 ca.crt配置到該路徑下，保存退出，并重啟Apache。

另外，建議在httpdssl.conf里進(jìn)行如下操作：

（1）添加SSL 協(xié)議支持語(yǔ)句，關(guān)閉不安全的協(xié)議和加密套件:

SSLProtocol all-SSLv2 -SSLv3

（2）修改加密套件如下:

SSLCipherSuite AESGCM:ALL:!DH:!EXPORT:!RC4:+H IGH:!MEDIUM:!LOW:!aNULL:!eNULL;

4.Tomcat SSL證書配置

請(qǐng)準(zhǔn)備好.jks文件 定位到tomcat的安裝目錄，找到conf下的server.xml文件，找到相應(yīng)的代碼，按照您服務(wù)器實(shí)際情況修改配置文件：

maxThreads="150"scheme="https"secure="true"

clientAuth="false"sslProtocol="TLS"

keystoreFile="keysto re.jks" keystorePass="password.txt中的密碼內(nèi)容"

ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"

/>

5.phpStudy環(huán)境如何安裝SSL

修改apache目錄下的httpd.conf配置文件。

#LoadModule ssl_module modules/mod_ssl.so #刪除行首的配置語(yǔ)句注釋符號(hào)“#”。

#Include extra/httpdssl.conf #將這行的注釋的“#”去掉

編輯extra/httpd-ssl.conf文件，修改如下內(nèi)容：

ServerName 后面改成你的網(wǎng)站域名，可不帶端口號(hào)

DocumentRoot后面改成網(wǎng)站路徑

SSLCertificateFile 后面改成server.crt文件路徑

SSLCertificateKeyFile后面改成server.key文件路徑

SSLCertificateChainFi le 后面改成ca.crt文件路徑

ErrorLog 這行開頭的可以注釋掉(前面加#號(hào)）

TransferLog 這行開頭的可以注釋掉(前面加#號(hào)）

CustomLog 這行開頭的可以注釋掉(前面加#號(hào)）

phpstudy配置指定路徑訪問(wèn)https（此步可以不做）。

RewriteEngine on

RewriteCond%{REQUEST_URI} /homework

RewriteRule^(.*)?$https://%{SERVER_NAME}$1[L,R]

保存退出，并重啟Apache。