无限星辰工作室-客户无限互联网动力之源
标题: HTTPS升级教程(Win下的iis和Linux下的nginx) [打印本页]
作者: crx349 时间: 2017-1-1 09:59
标题: HTTPS升级教程(Win下的iis和Linux下的nginx)
1. 为什么要部署HTTPS ?HTTPS与HTTP有啥区别?
HTTPS(全称:Hyper Text TransferProtocol over Secure Socket Layer),是以安全为目标的HTTPS通道,简单讲是HTTP的安全版。关于HTTPS的说明,相信大家都已经了解很多,在此就不多做说明了。
HTTPS和HTTP的区别主要为以下六点:
(1)https协议需要到ca申请证书,一般免费证书很少,需要交费。
(2)http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议,https更加安全。
(3)http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
(4)http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
(5)根据苹果相关通知,从2017年1月1日起,所有上架AppStore的应用必须支持https协议。仍然采用HTTP传输的站点APP,将无法在AppStore被用户下载使用,也无法进行升级更新等工作(现已正式通知该日期会延期)。
(6)iOS可以实现微信内部浏览器直接启动并打开App对应页面。
2. 哪些小云用户需要手动部署Https呢?
【云端】版本客户,恭喜你,不用操作,咱们云端版自动升级至HTTPS啦。开心吧。。。
【独立站】版本客户,需要手动部署Https,虚拟主机请联系您的空间服务商。
3. 独立站需要怎么部署呢?
APP网站升级https步骤:
(1) 为APP域名申请购买SSL证书(可选免费型);
(2)将SSL证书部署到APP站点。
https证书申请方法:
【说明:本教程以阿里云为例进行演示,腾讯云提供同样的服务】
云盾证书服务选择
确认选择的订单,点击【去支付】按钮即可
到这里,咱们的HTTPS的证数已经申请完成。
进入阿里云控制台,在左边的快捷菜单中找到【证书服务】点击后即可看到【我的证书】中【我的订单】相关的信息,如下图所示:
购买完成后,进入【控制台】中【证书服务】-【我的订单】,找到【证书订单】,点击【补全】
填写证书对应的域名信息,免费证书只能用于一个域名(请填写完整域名例如:bbs.xiaoyun.com 而不是 xiaoyun.com), 继续补全证书信息,注意域名验证类型选择DNS,邮箱填写自己常用邮箱即可,稍后系统会往邮箱发送域名解析信息。
下一步生成证书请求文件(CSR),这里建议选择“系统生成CSR”,点击右侧创建,创建完成后,点击提交审核,开始申请https证书。
稍后系统会向邮箱发送一份该邮件,邮件包含需要在域名管理后台解析的信息。
审核通过后,到域名管理后台添加新的域名解析,注意解析类型为CNAME
到域名管理后台添加新的域名解析,注意解析类型为CNAME
添加新域名解析完成后,系统会对您的申请进行审核(审核时间在几分钟到几个小时不确定),如果审核成功系统会为你签发https证书,失败也会有相关原因说明,如果失败可根据提示重新申请。
https证书申请成功后,下一步就可以下载并部署到APP服务器。
至此,Https已完成申请下载完毕。后续请按照阿里云提供的部署方案进行部署。
4. 部署完成后,怎么验证是否有效呢?
第一步:使用https协议访问域名是否能正常访问,例如 https://www.xmspace.net
部署注意事项:
(1)https使用的是443端口而不是默认的80端口,需要在wdcp安全管理-iptables开启443端口。
(2)https免费证书有效期为一年,请各位作好记录,提前重新申请。
(3)站点从http转到https完全过渡有一个时间间隔,建议在部署时站点同时支持http和https。
转:https://bbs.xiaoyun.com/forum.php?mod=viewthread&tid=3501
IIS7启用TLS1.2补充
微信企业号发布公告, 从2017年1月1日起 App Store中的所有应用都必须启用 App Transport Security安全功能。App Transport Security(ATS)是苹果在iOS 9中引入的一项隐私保护功能,屏蔽明文HTTP资源加载,连接必须经过更安全的HTTPS,否则将无法访问。影响范围:iOS系统为iOS 9或iOS 10的苹果用户。Android用户不受影响。
一大批APP以及与苹果相关的开发都受到影响,我们公司开发的多款基于微信企业号的产品,因在微信里进行部门业务操作,连带也受到影响,需要快速将原来的服务支持HTTPS,产品上有几千家商用企业客户,肯定不能因为这个产生服务问题.
1. SSL证书申请,就不做更多说明,有不少商家提供免费或收费的的证书,文章也比较多,就不做跟过说明.
2. 苹果的ATS最低要求是TLS1.2 ,在测试服务器上配置后,测试服务器Server 2008 R2 配置好证书,一直显示TLS1.0.
在https://www.ssllabs.com/ssltest 测试服务器的还是老的ssl2.0
(, 下载次数: 1223)
1)网上找了不少测试方式,通过注册表配置解决,下面是Server 2008 r2默认的协议配置。
(, 下载次数: 1231)
大部分的做法通过配置TLS2.0,禁用老的SSL2.0 3.0进行解决。
(, 下载次数: 1230)
配置方式如上,在我们的测试服务器,多次配置TLS检测的版本还是1.0,估计还是没配置好.
2)服务器策略配置 设置SSL密码套件顺序,运行输入gpedit.msc。
(, 下载次数: 1243)
通过组策略设置后,调整其顺序
(, 下载次数: 1225)
(, 下载次数: 1236)
调整完顺序后,重启还是无法达到效果,估计还是配置有问题.网上大部分通过以上两部设置即可解决。
最终解决:
https://www.nartac.com/Products/IISCrypto/ 在这里发现一个工具,基本上操作下就直接配置好了.
(, 下载次数: 1226)
(, 下载次数: 1222)
设置好后,直接重启机器,就可以了.
这是配置后的效果,可以对比下:
(, 下载次数: 1226)
(, 下载次数: 1231)
苹果ATS测试也完全通过,希望遇到同样问题的同学,少走些弯路.
转http://blog.sina.com.cn/s/blog_1673e9cce0102wtto.html
作者: crx349 时间: 2017-1-6 17:08
nginx:
作者: crx349 时间: 2017-8-30 19:02
iis7/iis7.5/iis8
| 欢迎光临 无限星辰工作室-客户无限互联网动力之源 (https://www.xmspace.net/) |
Powered by Discuz! X3.4 |