河南推广网站,手机做wordpress,网站开发实战视频教程,网站 开发Navigator 一、前情提要二、使用SSL对网站加密2.1 获取SSL证书2.2 安装SSL证书2.3 配置Web服务器2.4 验证SSL证书 一、前情提要
去年搭的网站#xff0c;没有安装SSL证书#xff0c;访问一直显示不安全#xff1a; 网站部分配置#xff1a;
腾讯云服务器#xff1b;阿里… Navigator 一、前情提要二、使用SSL对网站加密2.1 获取SSL证书2.2 安装SSL证书2.3 配置Web服务器2.4 验证SSL证书 一、前情提要
去年搭的网站没有安装SSL证书访问一直显示不安全 网站部分配置
腾讯云服务器阿里云域名Cloudflare域名解析原来用的阿里云ubuntu20.04 系统Nginx Web服务器。
原来的请求都是http的不安全原因如下 数据传输不加密HTTP请求的数据传输过程中不加密因此数据很容易被黑客窃取、篡改或监听。明文传输HTTP请求传输的内容都是明文的包括用户的账号密码等敏感信息容易被攻击者截取和窃取。没有身份验证HTTP请求并不进行身份验证任何人都可以发送HTTP请求导致无法确保请求发送者的真实身份。容易被篡改HTTP请求的内容很容易被篡改攻击者可以通过中间人攻击等方式修改请求内容造成安全问题。 因此为了保证数据传输的安全应该使用HTTPS协议进行数据传输HTTPS协议使用SSL/TLS加密技术来保护数据传输的安全性。此外还应该进行身份验证、防止SQL注入等攻击方式的防范。现在还有XTLS、WS等等加密的方式。
本文使用的是SSL的方式加密。但这里简单介绍一下SSL、TLS和XTLS我在另一台服务器的某项业务中也是用了XTLS SSL和TLS是两种用于加密网络连接的安全协议。它们用于保护网络通信的机密性和完整性防止数据被窃听、篡改或伪装。SSLSecureSockets Layer是早期的加密协议现已逐渐被TLSTransport Layer Security取代。TLS是SSL的升级版目前广泛用于保护网站、电子邮件、即时通讯和其他网络应用程序的通信安全。 XTLS是一个相对较新的开源加密协议是基于TLS协议开发的。XTLS在TLS的基础上增加了一些安全性和性能的改进例如支持多路复用、更高级别的加密算法、更快的握手协议等使得它比传统的TLS更加安全和快速。XTLS在一些需要高性能和高安全性的应用场景中表现出色例如代理服务器、VPN等。 二、使用SSL对网站加密
使用SSL协议对网站进行加密基本有下步骤 购买SSL证书 SSL证书是一种数字证书用于验证网站的身份并为网站提供加密功能。可以从一些知名的SSL证书颁发机构CA购买SSL证书例如DigiCert、Symantec、Comodo等。安装SSL证书 在购买SSL证书之后需要将证书安装到Web服务器上。安装过程可能因Web服务器的不同而有所不同通常可以参考SSL证书颁发机构提供的安装指南来完成安装过程。配置Web服务器 在安装完SSL证书后需要配置Web服务器来启用SSL功能。具体的配置方法也因Web服务器的不同而有所不同通常可以在Web服务器的配置文件中添加相关配置信息例如监听SSL端口、指定SSL证书等。验证SSL证书 为了确保SSL证书的有效性和安全性可以使用在线工具或浏览器自带的安全工具来验证SSL证书的有效性和可信度。验证的结果应该显示SSL证书颁发机构的名称、有效期、网站的域名等信息。 下面逐过程进行操作。
2.1 获取SSL证书
获取SSL证书的方式有很多种我在阿里云申请的免费证书现在证书有效期都是一年。使用免费的证书还是商业证书看个人需求了。
获取SSL证书的方式有以下几种 购买商业SSL证书可以从一些知名的SSL证书颁发机构CA购买商业SSL证书例如DigiCert、Symantec、Comodo、GlobalSign等。商业SSL证书的价格通常较高但具有更高的可信度和安全性适用于需要保护敏感数据的网站和应用程序。使用免费的SSL证书一些SSL证书颁发机构提供免费的SSL证书例如Let’s Encrypt、SSL.com、Cloudflare等。这些证书虽然免费但也提供了一定的加密保护适用于一些低风险的网站和应用程序。自签名SSL证书可以自己创建SSL证书并安装在Web服务器上这种证书被称为自签名SSL证书。自签名SSL证书没有经过第三方机构的验证和认证安全性较低通常只适用于内部测试和开发环境。使用ACME协议自动获取免费SSL证书ACME是一种协议用于自动化获取和部署SSL证书。使用ACME协议可以通过Let’s Encrypt等免费SSL证书颁发机构自动获取和更新SSL证书方便快捷适用于需要大量SSL证书的网站和应用程序。 申请证书前需要清楚你的web服务器类型可以使用下面方法查看你做网站一般都知道自己用的什么服务器 curl -i 你的域名在返回内容中可以看到服务器类型是Nginx
rootCQUPTLEI:~# curl -i XXXXX.com
HTTP/1.1 200 OK
Server: nginx
Date: Sun, 26 Mar 2023 10:45:04 GMT
Content-Type: text/html; charsetUTF-8
Transfer-Encoding: chunked
Connection: keep-alive
Vary: Accept-Encoding这里的服务器与你的云服务器不是一个概念它是一个服务器软件。 Web服务器是一种用于处理HTTP请求和响应的软件程序它通过TCP/IP协议接受来自客户端的HTTP请求并返回相应的HTTP响应。Web服务器通常用于托管网站和Web应用程序为用户提供访问和交互的接口。 Web服务器通常由两个主要组件组成HTTP服务器和应用服务器。HTTP服务器用于处理HTTP请求和响应可以为请求提供静态文件例如HTML、CSS、JavaScript、图像等。应用服务器用于处理动态请求例如在Web应用程序中执行业务逻辑、连接数据库、生成动态内容等。 常见的Web服务器软件包括Apache、Nginx、IIS、Tengine等。这些服务器软件具有高性能、高可靠性、易于配置等优点可以提供安全、稳定和高效的Web服务。同时Web服务器也需要采取一些安全措施来保护网站和应用程序的安全性例如使用SSL证书加密传输、限制访问、防止SQL注入、跨站脚本攻击等。 在阿里云这里直接申请就行了其他云应该也可以选择你用的服务器类型即可绑定域名可以选择通配符域名。比如你的域名是a.com那么他的次级域名b.a.comc.a.com也能使用这个证书。 申请之后把证书下载到本地其中xxxxx.pem是证书xxxxxx.key是秘钥。不同类型的证书后缀可能不一样。
2.2 安装SSL证书
把前面下载的证书上传到服务器就行了。
我使用Finalshell直接拖进去或者WinSCP等软件都可以我前面的文章都写过。
证书的位置是任意的只要在服务器的配置文件中写清楚就行了。
一般安装在web服务器目录下就行了。
如果你也不知道服务器目录在哪
sudo systemctl status nginx(你的服务器类型)可以看到服务器目录在/www/server/nginx后面那个nginx.conf就是配置文件后面还要修改。 在nginx/目录下新建一个cert目录把证书和秘钥上传即可。
2.3 配置Web服务器
修改nginx.conf配置文件。
在server块中添加证书和秘钥路径一般只用修改我添加了注释的地方
server{# 修改1http是80端口https是443端口listen 443 ssl;server_name phpmyadmin;# 修改2根据你的路径来写ssl_certificate /www/server/nginx/cert/xxxx.online.pem;ssl_certificate_key /www/server/nginx/cert/xxxx.key;index index.html index.htm index.php;.......修改后看一下是否有错误
rootCQUPTLEI:~# nginx -t
nginx: the configuration file /www/server/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /www/server/nginx/conf/nginx.conf test is successful没有就可以重启nginx服务
nginx -s reload或者使用systemctl stop/start 的方式
systemctl stop nginx2.4 验证SSL证书
现在在浏览器中输入带 https:// 的域名就能通过SSL连接你的网站了。
但是可能会显示网站的部分内容不安全因为有些内容仍然是使用http传输的比如图片。或者你仍然可以使用http开头的域名连接网站。
继续修改nginx.conf参考
server {listen 80;server_name yourdomain.com;# 重定向httpreturn 307 https://$server_name$request_uri;
}server {listen 443 ssl;server_name yourdomain.com;ssl_certificate /path/to/your/certificate.pem;ssl_certificate_key /path/to/your/privatekey.pem;// other SSL configuration// other server configurations
}
OK :
如果现在还是部分资源不安全那就需要将你网站上的http资源替换为https的了。(我之前有个视频是http的)
