分享一个简单便宜配置https安全证书的方法(10元/年)

Posted _陈哈哈

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了分享一个简单便宜配置https安全证书的方法(10元/年)相关的知识,希望对你有一定的参考价值。

  四月初客户突然打电话找我,说要把外网系统升级成https协议,我一愣,两年前不就改成https了?一看日历,明白了,转身继续摸鱼去了。

  清明假期一回来就问我升级好了没?我说咱一直都是https协议啊,客户对我清明期间的效率表示了不满😐😐,表示要升级成安全的小绿锁,不安全的警告会让客户的客户的领导不满意。害,这是我之前生成的自签名证书,要安全认证的好说啊,给钱~

  客户不愿意花钱,想白嫖,表示只有饼没有钱~~相信我们技术人员啥都能解决。我 ** 你个 ** 的。

  后来终于找到了一个既便宜又好使的证书获取路子,有两种:9.9元/年(可续三年)的和19.9元/年(可续五年)。可。。就这样,我被客户白嫖了一年。这里我把相关流程做了初步整理分享给大家,相信以后你用的到,记得报销!对了,有问题可以评论区讨论。


  当你给web平台配置https协议时,必然会需要用到SSL证书。通常,我们都会使用自签名的免费SSL证书。这种证书虽然能白嫖,也有缺点,如果面对公网的站点使用自签名证书,用户打开的时候都会被浏览器警告,表示该证书未经安全认证,如下图。

  如果公网使用的证书是由全球权威CA机构签发的,受各大浏览器信任,网站可以直接打开,显示安全(如下图)。

  为了解决安全证书的问题,我们找到了一个性价比相对较高的HTTPS证书申请的网站:FreeSSL.cn(https://freessl.cn/)目前是9.9元三年和19.9五年供选择。下面是我记录的当时购买和配置协议的流程,方便后续有需要的同学进行参考。


目录


一、证书配置流程:

1、要申请证书,首先要有自己的域名。域名可以是公司的,也可以是自己购买的。证书签发需要在购买域名的三方机构进行验证,目的是验证域名的所有权,简单说就是验证域名是不是你的。我们使用的是在阿里云购买的域名,后续的流程也是基于阿里云操作台的实际流程截图。

2、购买证书,打开FreeSSL.cn(https://freessl.cn/)证书购买网站,上面填写上你的域名,选择最下面左侧9.9元/年(可续三年)和19.9元/年(可续五年)的都可以,然后点击右侧的“抢购证书”进行付费购买。

这一页内容可以根据实际情况进行选择,如果没有具体要求,可以跟我一起选择默认选项,如下图所示。支付相关内容不再赘述,记得报销。

3、付费后会自动进入 订单系统 https://certcloud.cn/,进行证书的认证和签发;需要完成的主要包括提交订单、提交CSR、域名验证三步;由于我们证书已经签发过,下面都已经通过并打钩,在签发前是没有绿色打钩的。这里需要操作的主要是后两步“提交CSR、域名验证”,下面我也会主要跟你介绍。

4、提交CSR步骤,其实就是生成并下载证书私钥,证书私钥得留好,后面验证证书时会用到;如下图所示,生成CSR的主要方式两种,浏览器直接生成或通过KeyManager这个客户端生成并管理,我使用了KeyManager,这样至少不会随意丢失,使用也方便,他可以给你生成nginx(pem)、Apache(pem)tomcat(jks)、ISS(pfx、pkcs12)等形式的证书,使用上很便捷。


  输入密码后,自动显示 CSR私钥生成成功,请返回浏览器说明成功生成 CSR私钥。证书这边的操作就完成了,证书也可以导出了,是不是很简单?当然,目前生成的证书还没有被FreeSSL正式签发,因此还不能被CA认证为安全。

  下面进入最后一步,将证书拿到域名代理机构去核验域名真实性,核验通过后,安全认证就可以签发使用了。

5、到了域名验证步骤了,会自动获取到验证信息,下一步要到你的买域名的运营商那里(我的是阿里云),需要去进行DNS解析认证,证明这个域名是你拥有的。

6、如上图所示,我们是申请了两个域名都能使用这个安全证书,当然,你也可以只申请一个。然后我们打开阿里云,通过下图流程到DNS解析设置这页,点击域名的解析设置按钮。

  点击添加记录,在这里添加记录内容,这样证书网站进行验证时,会扫描到域名中的这个内容,即校验成功。下方两张图来记录这里添加的形式,内容取自上方的域名验证信息图中内容,尽量保持一致即可。


  添加完成后,回到证书订单页进行DNS验证,点击“配置完成,检测一下”,会生成检测结果如下两图所示。说明该安全证书已经签发完毕,到这里,证书方面已经搞定了。


  好了,你再到证书验证界面看一下,会发现证书已经签发成功了。啊,如此简单!!如果你感觉并不简单,可以通过微信(w843903492)找到我,并备注配置https证书,求笔试,然后接受我的鄙视。

  或许你会疑惑,前面图中三条记录还有第一条记录是干啥的?其实我当时也没有配置这个,后来发现通过https://ip:port访问还是不安全的,嗯?没用??

  不用慌!你想,我们为什么要配置“域名+证书”关联?当然是要“域名+证书”一起用才行,所以我们要想办法通过:https://domain:port/ 这种域名形式进行访问,这样就实现了“域名+证书”一起用。

  那么我们把web所在的公网IP代理到www.chenhh.com域名上是不是就可以了?

  是的!聪明如你,下面两张图可以清晰的看到,我们将我们的公网IP222.128.xx.xx代理到了www.chenhh.com域名下,这样用户在访问www.chenhh.com时,DNS会把域名自动映射为你的IP。

  配置完后我们就可以到KeyManager客户端导出我们的证书了,可以导出Nginx(pem)、Apache(pem)tomcat(jks)、ISS(pfx、pkcs12)等形式的证书,记得写一个私钥加密密码,后面server配置时用得上。导出证书流程由于过于简单,不再赘述。

  由于我们使用的tomcat server,下面我会介绍tomcat配置证书的方式,希望能够帮到你。

二、tomcat server配置流程

  证书有了,剩下就很好办了。我使用的tomcat做web容器,只需要修改tomcat/conf/server.xml文件即可。内容可以参考博客:

  《https协议配置》https://blog.csdn.net/qq_39390545/article/details/91048672

  1. 更改tomcat配置文件(server.xml),以我本机路径为例(如下图):

a.修改配置文件第一处:

b. 修改配置文件第二处:

  主要修改完这两处就可以了,下面你就可以尝试把项目放到tomcat中并启动它,我们看看效果。记得,要通过域名+端口号去访问。下图可见已经安全了,在一些浏览器上会显示一个小绿锁。

  好啦,我们配置https安全证书的说明到此结束,希望能帮到你!能看到这里想必你也是个爱研究的同学,记得帮哈哥点赞~~建议收藏一下,以后同事需要时,甩他脸上。

以上是关于分享一个简单便宜配置https安全证书的方法(10元/年)的主要内容,如果未能解决你的问题,请参考以下文章

分享一个简单便宜配置https安全证书的方法(10元/年)

WAMP——配置HTTPS证书

WAMP——配置HTTPS证书

[web建站]-简单通过letsencrypt配置HTTPS证书

https证书验证的基本方法

企业网站的SSL签证生产测试以及https配置方法