ssl安全证书

SSL证书的种类有好几种，都是用于保证网络传输的安全的。其中运用得比较普遍化的是域名证书，那么什么是域名SSL证书呢，很多人都不理解，下面就来看看吧。 什么是域名证书 首先要明确的是，SSL证书是一种网络传输安全协议，所以在网站的正常使用中都需要配置相关的SSL证书。而SSL具有服务器身份验证和数据传输加密的功能，因此域名证书也具有相关的传输安全性的功能。而所谓域名证书是针对域名注册的拥有者而言的，它是以电子证书的格式来表现的，标明了注册域名、域名所有人的中文和英文名称、域名注册时间和到期时间等这些内容。 那么具体的域名SSL证书指的是什么呢，目前域名证书都是电子文书的形式，确定了域名注册者对域名拥有权以及拥有期限，对确立域名的归属权有证明作用，也是受法律认可的证书文件。而域名证书在域名过户、网站备案等过程中都是需要用到的。域名证书指的是在国际相关的域名库备案过的SSL证书，所以总的来说，SSL证书和域名虽然听起来都差不多，但是二者还是有区别的。SSL证书的最大功能就是保证信息安全，域名证书只是域名的一种证明手段，它们没有什么关联，但却都有着重要的作用。 这就是关于域名证书的相关知识了，所以如果域名网站需要配置的话，还是可以选择配置域名证书的，是非常有必要的。 来源： 51CTO 作者： mb5d91a90ccffd7 链接： https://blog.51cto.com

error: openssl 的所有解决方案 (2013/6/22 17:39:00) error: openssl/crypto.h: No such file or directory 解决方案 (2013/6/22 17:39:00) error: openssl/crypto.h: No such file or directory error: openssl/md5.h: No such file or directory 解决方案 libssl-dev 没有安装，只要 sudo apt-get install libssl-dev 就可以了 libssl-dev 没有安装，只要 sudo apt-get install libssl-dev 就可以了 undefined reference to `MD5'_fengzi_lu的空间_百度空间 - Google Chrome (2013/8/8 15:23:26) undefined reference to `MD5' 这是因为包含md5函数的库为/usr/lib/libcrypto.a(.so)，所以编译时使用 -lcrypto 就OK了。 基于X.509证书和SSL协议的身份认证过程实现 - 菜鸟浮出水 - 51CTO技术博客 - Google Chrome (2013/6/7 17:14:52) 客户端程序代码

如今这年代没一个HTTPS还会被标记为不安全，看着是不是不爽？ 另一个原因是因为个人写着微信小程序玩，还得必须是https请求，所以必须搞一个 1.阿里云免费认证 通过阿里云就可以做免费的的 权威机构 DV 认证申请啦。 购买（免费）地址： https://common-buy.aliyun.com/?spm=5176.2020520163.cas.3.342dbsGJbsGJeT&commodityCode=cas#/buy 注： 上面这个地址，过几个月不一定还存在，可能换成其他的入口了。 如果不能用了，就百度： ssl 阿里云，一般说来前两个就是了。 2.管理ssl证书 进入阿里云，搜搜 ssl -> 就出来 ssl 证书（应用安全）控制台了。 此时就可以看到未签发的证书，点击 证书申请 3.填写申请 点击证书申请， 然后 DNS 验证–> 提交审核 4.等待审核 接着就会弹出这个对话框，耐心等待审核通过即可。 我是1个小时内通过的。到了具体，估计就是因人而异了，应该不会超过24个小时的。 审核通过之后，就可以在已签发栏目里看到如图所示的状态。 5.下载证书 点击下载，就会弹出选项，选择那种服务器的证书下载。 我目前是 tomcat，所以下载 Tomcat即可。 下载解压出来就是图如所示，两个文件 ，pfx和 txt。 6.复制证书 接着把证书复制到tomcat/conf

HTTPS是传输协议吗？ HTTPS与HTTP有什么关系？ HTTPS为什么会安全？ 闲扯一下 Mac笔记本、Windows台式机、Linux主机。像这三种类型，它们硬件不同，系统不同，服务端处理的编程语言不同。它们之间却可以在网络的世界了自由联通。靠的是什么呢？靠的是它们遵守相同的规则（如：HTTP）。应用层用什么格式（语言编码，报文字段）封装报文、传输层如何将大量的数据分段，并给每帧数据添加编号和端口信息、网络层如何给没帧数据添加IP地址，目标MAC地址、数据链路层如何将数字信息通过网卡发出去。 HTTPS是传输协议吗？ 目前常见的应用层协议 好像没有看到HTTPS啊？ 没错，HTTPS并非TCP/IP协议族中的一员，它其实是HTTP协议+SSL协议的组合体，是披着SSL外衣的HTTP。 HTTPS与HTTP有什么关系？ HTTP实现的功能：一种机制简单（这也是从早期众多传输协议中走出来的原因）的超文本传输协议，为客户端和服务器通信服务，是处在TCP/IP协议族中的应用层协议。 HTTP在发送请求时，采用四层架构。 应用层：提供多种应用服务，如：HTTP FTP DNS等，可以直接提供给开发者使用。 传输层：网络间数据的传输，如：TCP TDP，报文数据分割打包成帧 网络层：处理网络中流动的数据包，在复杂的网络段中选择一条传输路线，将数据包送到目的地。将现实中的寄快递

SSL(Secure Socket Layer 安全套接层)是基于HTTPS下的一个协议 加密 层，最初是由网景公司(Netscape)研发，后被IETF(The Internet Engineering Task Force - 互联网工程任务组)标准化后写入(RFCRequest For Comments 请求注释)，RFC里包含了很多互联网技术的规范! 起初是因为HTTP在传输数据时使用的是明文(虽然说POST提交的数据时放在报体里看不到的，但是还是可以通过抓包工具窃取到)是不安全的，为了解决这一隐患网景公司推出了SSL安全套接字协议层，SSL是基于HTTP之下TCP之上的一个协议层，是基于HTTP标准并对TCP传输数据时进行加密，所以HPPTS是HTTP+SSL/TCP的简称。 由于HTTPS的推出受到了很多人的欢迎，在SSL更新到3.0时，IETF对SSL3.0进行了标准化，并添加了少数机制(但是几乎和SSL3.0无差异)，标准化后的IETF更名为TLS1.0(Transport Layer Security 安全传输层协议)，可以说TLS就是SSL的新版本3.1，并同时发布“RFC2246-TLS加密协议详解”，如果想更深层次的了解TLS的工作原理可以去RFC的官方网站：www.rfc-editor.org，搜索RFC2246即可找到RFC文档! SSL连接过程

首先将你的证书文件也就是以jks结尾的文件拷贝到你的tomcat的conf目录中并复制它的绝对路径在tomcat安装位置进入conf目录编辑server.xml文件添加入以下内容 - <Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" #证书保存的路径 keystoreFile="/usr/*/conf/www.domain.com.jks" #密钥库密码 keystorePass="******" clientAuth="false"/> 配置文件的主要参数说明如下： keystoreFile：密钥库文件的存放位置，可以指定绝对路径，也可以指定相对于 <CATALINA_HOME> （Tomcat安装目录）环境变量的相对路径。如果此项没有设定，默认情况下，Tomcat 将从当前操作系统用户的用户目录下读取名为 “.keystore” 的文件。 keystorePass：密钥库密码，指定 keystore 的密码。申请证书时若设置了私钥密码，请填写私钥密码；若申请证书时未设置私钥密码，请填写 Tomcat 文件夹中 keystorePass.txt 文件的密码。 clientAuth：如果设为 true，表示 Tomcat

随着互联网的不断进步与发展，对于网站与数据的安全性要求也越来越高，原本的 HTTP明文传输已经不被信任，https逐渐被关注，从谷歌、火狐浏览器将对HTTP明文页面标记“不安全”，到强制要求iOS App使用HTTPS加密连接（ 苹果要求所有应用到 2016年底必须使用HTTPS ），再到新一代 HTTP/2协议只支持HTTPS加密连，这都预示着互联网即将改变HTTP传输的规则。 目前，国内最大的云计算平台阿里云为满足用户对 SSL证书的需求，已经在云平台上推出了4大证书品牌，下面就以Symantec SSL为例，和大家分享，如何将SSL证书部署在云产品中实现全站HTTPS加密。 在使用阿里云的产品中，首先需要登录阿里云账号，如果没有阿里云账号的也不必担心，有淘宝或 1688账号也是可以直接登录使用的。 成功登录阿里云账号后，在导航栏中找到产品〉安全（云盾）〉 CA证书服务（数据安全）如下图所示： 进入到云盾证书服务页面，这时可以进行证书的品牌选择， 这里要提到的是目前阿里云平台中只有 Symantec 证书品牌中DV SSL证书是可以云上免费申请使用的， Symantec DV SSL证书适用于个人开发者及中小企业使用； EV型服务器证书适用于应用推广及企业形象展示类型网站使用； 大型互联网及企业级应用可以考虑选用多域名或通配符类证书，阿里云用户可根据需求进行选择。 择好适用的

随着互联网的不断进步与发展，对于网站与数据的安全性要求也越来越高，原本的HTTP明文传输已经不被信任，https逐渐被关注，从谷歌、火狐浏览器将对HTTP明文页面标记“不安全”，到强制要求iOS App使用HTTPS加密连接（ 苹果要求所有应用到2016年底必须使用HTTPS ），再到新一代HTTP/2协议只支持HTTPS加密连，这都预示着互联网即将改变HTTP传输的规则。 目前，国内最大的云计算平台阿里云为满足用户对SSL证书的需求，已经在云平台上推出了4大证书品牌，下面就以Symantec SSL为例，和大家分享，如何将SSL证书部署在云产品中实现全站HTTPS加密。 在使用阿里云的产品中，首先需要登录阿里云账号，如果没有阿里云账号的也不必担心，有淘宝或1688账号也是可以直接登录使用的。 成功登录阿里云账号后，在导航栏中找到产品〉安全（云盾）〉CA证书服务（数据安全）如下图所示： 进入到云盾证书服务页面，这时可以进行证书的品牌选择， 这里要提到的是目前阿里云平台中只有Symantec 证书品牌中DV SSL证书是可以云上免费申请使用的， Symantec DV SSL证书适用于个人开发者及中小企业使用； EV型服务器证书适用于应用推广及企业形象展示类型网站使用； 大型互联网及企业级应用可以考虑选用多域名或通配符类证书，阿里云用户可根据需求进行选择。

双向认证 SSL 协议要求服务器和用户双方都有证书。单向认证 SSL 协议不需要客户拥有CA证书，具体的过程相对于上面的步骤，只需将服务器端验证客户证书的过程去掉，以及在协商对称密码方案，对称通话密钥时，服务器发送给客户的是没有加过密的(这并不影响 SSL 过程的安全性)密码方案。这样，双方具体的通讯内容，就是加过密的数据，如果有第三方攻击，获得的只是加密的数据，第三方要获得有用的信息，就需要对加密的数据进行解密，这时候的安全就依赖于密码方案的安全。而幸运的是，目前所用的密码方案，只要通讯密钥长度足够的长，就足够的安全。这也是我们强调要求使用128位加密通讯的原因。 一般Web应用都是采用SSL单向认证的，原因很简单，用户数目广泛，且无需在通讯层对用户身份进行验证，一般都在应用逻辑层来保证用户的合法登入。但如果是企业应用对接，情况就不一样，可能会要求对客户端(相对而言)做身份验证。这时就需要做SSL双向认证。 SSL单向认证具体过程 image.png ①客户端的浏览器向服务器传送客户端SSL协议的版本号，加密算法的种类，产生的随机数，以及其他服务器和客户端之间通讯所需要的各种信息。 ②服务器向客户端传送SSL协议的版本号，加密算法的种类，随机数以及其他相关信息，同时服务器还将向客户端传送自己的证书。 ③客户利用服务器传过来的信息验证服务器的合法性，服务器的合法性包括：证书是否过期

Let's Encrypt免费SSL 证书的出现，也会对传统提供付费SSL证书服务的商家有不小的打击。到目前为止， Let's Encrypt 获得IdenTrust交叉签名，这就是说可以应用且支持包括FireFox、Chrome在内的主流浏览器的兼容和支持，虽然目前是公测阶段，但是也有不少的用户在自有网站项目中正式使用起来。 虽然目前Let's Encrypt免费SSL证书默认是90天有效期，但是我们也可以到期自动续约，不影响我们的尝试和使用。 第一、安装Let's Encrypt前的准备工作 根据官方的要求，我们在VPS、服务器上部署Let's Encrypt免费SSL证书之前，需要系统支持Python2.7以上版本以及支持GIT工具。 这个需要根据我们不同的系统版本进行安装和升级，因为有些服务商提供的版本兼容是完善的，尤其是debian环境兼容性比CentOS好一些。 比如CentOS 6 64位环境不支持GIT，我们还可以参考" Linux CentOS 6 64位系统安装Git工具环境教程 "和" 9步骤升级CentOS5系统Python版本到2.7 "进行安装和升级。 最为 简单的就是Debian环境不支持，可以运行"apt-get -y install git"直接安装支持，如果是CentOS直接运行"yum -y install git-core"支持。