HTTPS安全網(wǎng)站的搭建

■ 河北科技師范學院 趙學作 秦皇島市睿訊網(wǎng)絡科技有限公司 趙少農(nóng)

編者按：HTTPS是以安全為目標的HTTP通道，用于安全的HTTP數(shù)據(jù)傳輸。現(xiàn)在它被廣泛用于萬維網(wǎng)上安全敏感的通訊，例如交易支付方面。

網(wǎng)站沒有使用HTTPS時，瀏覽器會報不安全，而且在別人訪問該網(wǎng)站時，很有可能會被運營商劫持。

申請CA證書

如果要啟用HTTPS，需要從證書授權(quán)機構(gòu)處獲取一個證書，便宜SSL是一家國內(nèi)的SSL證書提供商，從https://www.pianyissl.com/#/order/buy就可以申請擁有免費證書。登錄后，選擇“體驗版單域名SSL”的”免費測試”,根據(jù)提示操作并通過驗證即可。

獲取服務器證書文件

下載證書ZIP壓縮包，會得到多個證書，包括：IIS、Apache、Tomcat、Nginx等多種WEB服務器的證書。

搭建HTTPS安全網(wǎng)站

1.Windows IIS7/8安裝

（1）將證書壓縮包后解壓，找到壓縮后的目錄里的“/IIS/”目錄下的server.pfx文件，放到服務器中。

（2）進 入IIS管 理 控制臺的服務器證書管理頁面，右鍵選擇“導入”，選擇server.pfx文件，并輸入密鑰文件保護密碼（即IIS/目錄下的password.txt中的密碼內(nèi)容），并勾選“標志此密鑰為可導出”，否則有些情況可能會無法完成證書安裝。。

（3）選中需要配置證書的站點，并選擇右側(cè)“編輯站點”下的“綁定” ，選中您剛才安裝的服務器證書文件 ，配置默認的https訪問端口443，重啟IIS并使用https方式訪問測試站點證書安裝。 （一定保證防火墻允許443端口）。

（4）重啟動IIS后即可以https方式訪問此網(wǎng)站了。

2.Nginx安裝服務器證書

復 制server.key、server.crt 文件到 Nginx安裝目錄下的 conf 目錄。

打開 Nginx 安裝目錄下conf 目錄中的 nginx.conf文件

找到如止下內(nèi)容：

#HTTPS server

#

#server {

# listen 443;

# server_name localhost;# ssl on;

# ssl_certificate cert.crt;

# ssl_certificate_key cert.key;

# ssl_session_timeout 5m;

# ssl_protocols SSLv2 SSLv3 TLSv1;

# ssl_ciphers AL L:!ADH:!EXPORT56:R C4+RSA:+HIGH:+MED IUM:+LOW:+SSLv2:+EXP;

# ssl_prefer_server_ciphers on;

# location / {

# root html;

# index index.html index.htm;

# }

#}

將其修改為

server {

listen 443;

server_name localhost;

ssl on;

ssl_certificate server.crt;

ssl_certificate_key server.key;

ssl_session_timeout 5m;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers ECDH:AES GCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;

ssl_prefer_server_ciphers on;

location / {

root html;

index index.html index.htm;

}

}

保存退出，并重啟Nginx。

通過 https 方式訪問您的站點，測試站點證書的安裝配置。

3.Apache 2.2.* 的配置

打開apache安裝目錄下conf目錄中的httpd.conf文件，找到

#LoadModule ssl_module modules/mod_ssl.so

#Include conf/extra/httpd-ssl.conf

刪除行首的配置語句注釋符號“#” ，保存退出。

打開apache安裝目錄下conf/extra目錄中的httpd-ssl.conf文件 ，在配置文件中查找以下配置語句

SSLCertificateFile conf/ssl.crt/server.crt#將服務器證書配置到該路徑下

SSLCertificateKeyFile conf/ssl.key/server.key#將服務器證書私鑰配置到該路徑下

#SSLCertificateChainF ile conf/ssl.crt/ca.crt刪除行首的“#”號注釋符，并將CA證書 ca.crt配置到該路徑下，保存退出，并重啟Apache。

另外，建議在httpdssl.conf里進行如下操作：

（1）添加SSL 協(xié)議支持語句，關閉不安全的協(xié)議和加密套件:

SSLProtocol all-SSLv2 -SSLv3

（2）修改加密套件如下:

SSLCipherSuite AESGCM:ALL:!DH:!EXPORT:!RC4:+H IGH:!MEDIUM:!LOW:!aNULL:!eNULL;

4.Tomcat SSL證書配置

請準備好.jks文件 定位到tomcat的安裝目錄，找到conf下的server.xml文件，找到相應的代碼，按照您服務器實際情況修改配置文件：

maxThreads="150"scheme="https"secure="true"

clientAuth="false"sslProtocol="TLS"

keystoreFile="keysto re.jks" keystorePass="password.txt中的密碼內(nèi)容"

ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"

/>

5.phpStudy環(huán)境如何安裝SSL

修改apache目錄下的httpd.conf配置文件。

#LoadModule ssl_module modules/mod_ssl.so #刪除行首的配置語句注釋符號“#”。

#Include extra/httpdssl.conf #將這行的注釋的“#”去掉

編輯extra/httpd-ssl.conf文件，修改如下內(nèi)容：

ServerName 后面改成你的網(wǎng)站域名，可不帶端口號

DocumentRoot后面改成網(wǎng)站路徑

SSLCertificateFile 后面改成server.crt文件路徑

SSLCertificateKeyFile后面改成server.key文件路徑

SSLCertificateChainFi le 后面改成ca.crt文件路徑

ErrorLog 這行開頭的可以注釋掉(前面加#號）

TransferLog 這行開頭的可以注釋掉(前面加#號）

CustomLog 這行開頭的可以注釋掉(前面加#號）

phpstudy配置指定路徑訪問https（此步可以不做）。

RewriteEngine on

RewriteCond%{REQUEST_URI} /homework

RewriteRule^(.*)?$https://%{SERVER_NAME}$1[L,R]

保存退出，并重啟Apache。