SSL会成为网站、APP、小程序(小程序已经强制使用https)等项目的标配。关于SSL证书安装使用的问题今天总结下,以备用。
环境配置:windows server 2008 R2和IIS7.0
1、 安装SSL证书的环境 (温馨提示:安装证书前请先备份您需要修改的服务器配置文件)
SSl证书安装环境简介
安装windows server 2008 IIS7.0操作系统服务器一台,web站点一个,SSL证书一张(备注:本指南使用s.wosign.com域名OV SSL证书进行操作)。
well-known验证压缩包下载:https://pan.baidu.com/s/1dFGqNwH
网站环境要求
请确保站点是一个合法的外网可以访问的域名地址,可以正常通过http://www.bojuwang.net/进行正常访问。
2、SSL证书的导入
获取SSl证书
以景安为例,成功在景安申请证书后,会得到一个有密码的压缩包文件,输入证书密码后解压得到五个文件:for Apache、for IIS、for Ngnix、for Other Server,这个是证书的几种格式,解压for IIS压缩包,会得到一个www.xxx.com.pfx格式的证书,IIS7.0上需要用到pfx格式的证书。
导入SSl证书
开始 -〉运行 -〉MMC,启动控制台程序 -> 选择菜单“文件 -〉添加/删除管理单元”->列表中选择“证书”->点击“添加”-> 选择“计算机帐户” ->点击完成。在控制台的左侧显示证书树形列表,选择“个人”- “证书”,右键单击,选择“所有任务-〉导入”, 根据“证书导入向导”的提示,将.pfx格式文件导入,注意导入过程选择“根据证书内容自动选择存储区”。(注意导入过程中需要输入密码)导入成功后,刷新,可以看到如下图所示的证书信息。
分配服务器证书
打开IIS7.0管理器面板,找到待部署证书的站点。
设置参数
选择“绑定”->“添加”->“类型选择https” ->“端口443” ->“ssl证书【导入的证书名称】” ->“确定”,SSL缺省端口为443端口,(请不要随便修改。如果您使用其他端口如:8443,则访问时必须输入:https://www.domain.com:8443)。如下图所示:
测试是否安装成功
重启IIS7.0服务,在浏览器地址栏输入:https://www.yourdomain.com (申请证书的域名)测试您的SSL证书是否安装成功,如果成功,则浏览器下方会显示一个安全锁标志。请注意:如果您的网页中有不安全的元素,则会提供“是否显示不安全的内容”,赶紧修改网页,删除不安全的内容(外部Flash、CSS、Java Script和图片等)。
环境配置:phpstudy如何安装ssl证书
首先,确保你的apache编译了ssl模块,这是支持ssl证书必要的条件(如果没有,请编译,打开phpstudy——设置——PHP模块扩展——php-openssl前面勾选上)。
第一:进入到apache目录下,httpd.conf找到#LoadModule ssl_module modules/mod_ssl.so,去掉前面的注释符,使得ssl模块生效(如果该模块已去掉注释,请不用操作)。
第二,找到配置80端口http的网站配置的地方,一般在如下路径:D:\phpStudy\Apache\conf有一个vhosts.conf的文件,按照80的配置,另起一个VirtualHost443,如下所示:
Listen 443
<VirtualHost *:443>
ServerAdmin admin@youradmin.com #(和80一样)
ServerName yourdomain.com #(和80一样)
Errorlog /logs #(和80一样)
DocumentRoot “D:\phpStudy\WWW” #(和80一样)
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite AESGCM:ALL:!DH:!EXPORT:!RC4: HIGH:!MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /usr/local…/yourdomain.com.crt(服务器上证书路径)
SSLCertificateKeyFile /usr/local…/yourdomain.com.key(服务器上证书路径)
SSLCertificateChainFile /usr/local…/bundle.crt(服务器上证书路径)
</VirtualHost>
第三,重启apache(有可能报错,看一下443端口是否被防火墙拦截或被占用)。
第四,apache正常重启后,在浏览器里面输入https://yourdomain.com就能看到安全锁出来啦。
小程序要求的 TLS 版本必须大于等于1.2解决办法。
这个可以参考沃通官方论坛的服务器SSL不安全漏洞修复方案来解决,特别注意的是windows server 2003不支持TLS1.1和1.2,请升级至2008 R2或2012。
帖子网址:https://bbs.wosign.com/forum.php?mod=viewthread&tid=1284
更多专业前端知识,请上 【猿2048】www.mk2048.com