怎么搞定HTTPS 配置

本篇文章給大家分享的是有關(guān)怎么搞定HTTPS 配置，小編覺得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

01、關(guān)于 FreeSSL.cn

FreeSSL.cn 是一個(gè)免費(fèi)提供 HTTPS 證書申請(qǐng)、HTTPS 證書管理和 HTTPS 證書到期提醒服務(wù)的網(wǎng)站，旨在推進(jìn) HTTPS 證書的普及與應(yīng)用，簡(jiǎn)化證書申請(qǐng)的流程。

當(dāng)然了，我看重的不是免費(fèi)，而是 FreeSSL 使用起來非常人性化。我是一個(gè)計(jì)算機(jī)常識(shí)非常薄弱的程序員（羞愧一下），但通過 FreeSSL，我竟然可以獨(dú)自完成 Tomcat 的 HTTPS 配置！

很多年以前，公司要做華夏銀行的接口對(duì)接，需要 HTTPS 訪問，大概花了 3000 塊買的證書，最后證書還有問題，HTTPS 也沒搞定。總之，坑的很！

FreeSSL.cn 有很大的不同，申請(qǐng)非常便捷，優(yōu)點(diǎn)很多，值得推薦一波。畢竟再也不用郵件、電話各種聯(lián)系了（也許時(shí)代進(jìn)步了）。

• 100% 永久免費(fèi)；這要感謝 Let’s Encrypt 與 TrustAsia 提供的免費(fèi) SSL 證書。

• 在 HTTPS 證書到期前，F(xiàn)reeSSL.cn 會(huì)及時(shí)地提醒更換證書，免費(fèi)的服務(wù)。

• 私鑰不在網(wǎng)絡(luò)中傳播，確保 HTTPS 證書的安全。

02、使用 FreeSSL 申請(qǐng)證書

第一步，填寫域名，點(diǎn)擊「創(chuàng)建免費(fèi)的 SSL 證書」

第二步，填寫郵箱，點(diǎn)擊「創(chuàng)建」

1）證書類型默認(rèn)為 RSA

RSA 和 ECC 有什么區(qū)別呢？可以通過下面幾段文字了解一下。

HTTPS 通過 TLS 層和證書機(jī)制提供了內(nèi)容加密、身份認(rèn)證和數(shù)據(jù)完整性三大功能，可以有效防止數(shù)據(jù)被監(jiān)聽或篡改，還能抵御 MITM（中間人）攻擊。TLS 在實(shí)施加密過程中，需要用到非對(duì)稱密鑰交換和對(duì)稱內(nèi)容加密兩大算法。

對(duì)稱內(nèi)容加密強(qiáng)度非常高，加解密速度也很快，只是無法安全地生成和保管密鑰。在 TLS 協(xié)議中，應(yīng)用數(shù)據(jù)都是經(jīng)過對(duì)稱加密后傳輸?shù)模瑐鬏斨兴褂玫膶?duì)稱密鑰，則是在握手階段通過非對(duì)稱密鑰交換而來。常見的 AES-GCM、ChaCha20-Poly1305，都是對(duì)稱加密算法。

非對(duì)稱密鑰交換能在不安全的數(shù)據(jù)通道中，產(chǎn)生只有通信雙方才知道的對(duì)稱加密密鑰。目前最常用的密鑰交換算法有 RSA 和 ECDHE：RSA 歷史悠久，支持度好，但不支持 PFS（Perfect Forward Secrecy）；而 ECDHE 是使用了 ECC（橢圓曲線）的 DH（Diffie-Hellman）算法，計(jì)算速度快，支持 PFS。

2）驗(yàn)證類型默認(rèn)為 DNS

DNS 和文件驗(yàn)證有什么區(qū)別呢？我們?cè)賮硪黄鹆私庀隆?/p>

首先，我們需要明白一點(diǎn)，CA（Certificate Authority，證書頒發(fā)機(jī)構(gòu)） 需要驗(yàn)證我們是否擁有該域名，這樣才給我們頒發(fā)證書。

文件驗(yàn)證（HTTP）：CA 將通過訪問特定 URL 地址來驗(yàn)證我們是否擁有域名的所有權(quán)。因此，我們需要下載給定的驗(yàn)證文件，并上傳到您的服務(wù)器。

DNS 驗(yàn)證：CA 將通過查詢 DNS 的 TXT 記錄來確定我們對(duì)該域名的所有權(quán)。我們只需要在域名管理平臺(tái)將生成的 TXT 記錄名與記錄值添加到該域名下，等待大約 1 分鐘即可驗(yàn)證成功。

所以，如果對(duì)服務(wù)器操作方便的話，可以選擇文件驗(yàn)證；如果對(duì)域名的服務(wù)器操作比較方便的話，可以選擇 DNS 驗(yàn)證。如果兩個(gè)都方便的話，請(qǐng)隨意選啦。

3）CSR生成默認(rèn)為離線生成

離線生成、瀏覽器生成 和 我有 CSR 又有什么區(qū)別呢？來，我們繼續(xù)了解一下。

離線生成 推薦!!!：私鑰在本地加密存儲(chǔ)，更安全；公鑰自動(dòng)合成，支持常見證書格式轉(zhuǎn)換，方便部署；支持部分 WebServer 的一鍵部署，非常便捷。

離線生成的時(shí)候，需要先安裝 KeyManager，可以提供安全便捷的 SSL 證書申請(qǐng)和管理。下載地址如下： https://keymanager.org/

Windows 的話，安裝的時(shí)候要選擇“以管理員身份運(yùn)行”。

瀏覽器生成：在瀏覽器支持 Web Cryptography 的情況下，會(huì)使用瀏覽器根據(jù)用戶的信息生成 CSR 文件。

Web Cryptography，網(wǎng)絡(luò)密碼學(xué)，用于在 Web 應(yīng)用程序中執(zhí)行基本加密操作的 JavaScript API。很多瀏覽器并不支持

我有 CSR：可以粘貼自己的 CSR，然后創(chuàng)建。

第三步，選擇離線生成，打開 KeyManager

填寫密碼后點(diǎn)擊「開始」，稍等片刻，出現(xiàn)如下界面。

第四步，返回瀏覽器，點(diǎn)擊「下一步」，出現(xiàn)如下界面。

第五步，下載文件，并上傳至服務(wù)器指定目錄下。

第六步，點(diǎn)擊「驗(yàn)證」，通過后，出現(xiàn)以下界面。

第七步，點(diǎn)擊「保存到KeyManager」，可以看到證書狀態(tài)變成了已頒發(fā)。

03、為 Tomcat 配置 jks 格式證書

第一步，導(dǎo)出證書。假如服務(wù)器選擇的 Tomcat，需要導(dǎo)出 Java keystone （簡(jiǎn)拼為 jks）格式的證書。

注意：私鑰的密碼在配置 Tomcat 的時(shí)候用到。

第二步，上傳證書至服務(wù)器。

第三步，配置 Tomcat 的 server.xml。

 <Connector port="81" protocol="HTTP/1.1"                        maxThreads="250" maxHttpHeaderSize="8192" acceptCount="100" connectionTimeout="60000" keepAliveTimeout="200000"                        redirectPort="8443"                                    useBodyEncodingForURI="true" URIEncoding="UTF-8"                          compression="on" compressionMinSize="2048" noCompressionUserAgents="gozilla, traviata"               compressableMimeType="text/html,text/xml,application/xml,application/json,text/javascript,application/javascript,text/css,text/plain,text/json,image/png,image/gif"/><Connector  protocol="org.apache.coyote.http11.Http11NioProtocol"  port="443" maxThreads="200"  scheme="https" secure="true" SSLEnabled="true"  keystoreFile="/home/backup/qingmiaokeji.cn.jks" keystorePass="Chenmo"  clientAuth="false" sslProtocol="TLS"useBodyEncodingForURI="true" URIEncoding="UTF-8"                          compression="on" compressionMinSize="2048" noCompressionUserAgents="gozilla, traviata"               compressableMimeType="text/html,text/xml,application/xml,application/json,text/javascript,application/javascript,text/css,text/plain,text/json,image/png,image/gif"/>

其中 keystorePass 為導(dǎo)出證書時(shí)私鑰的加密密碼。

第四步，重啟 Tomcat，并在瀏覽器地址欄中輸入 https://itwanger.cn/ 進(jìn)行測(cè)試。

注意到?jīng)]，瀏覽器地址欄前面有一個(gè)綠色的安全鎖，這說明 HTTPS 配置成功了！

以上就是怎么搞定HTTPS 配置，小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘９ぷ鲿?huì)見到或用到的。希望你能通過這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注億速云行業(yè)資訊頻道。