比尔盖子 博客

Tag: SSL

SSL/HTTPS证书指南

比尔盖子今年已经很少再写像2010、2011年那样的指南了,太懒了,但是这一篇是一定要写的!

何为SSL?

安全套接层(Secure Sockets Layer, SSL)是网景公司提出的协议。SSL采用公开密钥技术,保证两个应用间通信的保密性和可靠性,使客户与服务器应用之间的通信不被攻击者窃听。

何为HTTPS?

超文本传输安全协议(HTTPS, Hypertext Transfer Protocol Secure)是超文本传输协议和SSL/TLS的组合,用以提供加密通讯及对网络服务器身份的鉴定。HTTPS连接经常被用于万维网上的交易支付和企业信息系统中敏感信息的传输。

也就是说,工作在SSL之上的HTTP就是HTTPS。

“受信任的签发者”

SSL是基于证书的,你自然可以自己签发自己的证书。但是,如果大家都签发自己证书,将会造成混乱和安全问题。因此,现代的浏览器和操作系统通常只会信任 受信任的签发机构签发的证书——而这种证书就是收费的了。

生成私钥和CSR

CSR是证书请求文件的缩写。它包括了用户的基本信息以及一个密钥。你需要填写信息来生成CSR文件,并提供给证书服务商。证书服务商需要通过CSR文件来生成证书。

在较新版本的OpenSSL中,生成CSR和私钥已经能一行搞定:

#建议将domain替换成自己的域名
openssl req -new -nodes -newkey rsa:2048 -keyout domain.key -out domain.csr

OpenSSL会要求您填写一些相关的个人资料,不强制如实填写(但为了规范起见,还是建议尽量按照实际情况填写CSR的相关信息),但是Common Name必须填写您网站需要使用SSL的域名。如果是中文域名,Common Name必须使用通用域名——就是中文域名对应的那个像乱码一样的域名。

填写完相关的资料后,就会生成CSR和私钥,分别为domain.csr和domain.key。CSR文件需要在稍后提供给证书服务商,而私钥文件则需要和最终获得的证书一起使用,因此均需要妥善保管。

购买并获得证书

当您在Verisign或其它证书服务商或代理商付费并购买证书后,您并不能得到可用的证书,因为他们需要根据您的CSR文件来生成一个证书。您需要来到服务商的相关页面进行操作。

比尔盖子使用的是Namecheap代理的Comodo提供的证书。并且,由于比尔盖子已经签发过证书,但需要重新签发,因此可以看到提示是Reissue,并不是New之类的状态。不过由于重新签发证书的过程与全新签发基本一致,因此不用担心。

输入CSR

输入CSR

输入自己的CSR文件

这时,需要将CSR文件中的内容原封不动的粘贴到下面的文本框里面。为了避免文本编辑器破坏CSR文件,建议在终端模拟器中使用:

cat domain.csr

来得到文件内容,并复制粘贴到文本框中,点击Next。

选择确认邮箱

很快就会来到第二个页面,这个页面中,可以看到,自己之前CSR文件中的信息被解释出来了,可以核对一下。核对完之前,就要选择适当的邮箱了——进一步信息将会发至邮箱。

核对CSR并选择邮箱

核对CSR并选择邮箱

注意,为了防止他人恶意不属于自己的域名申请证书,所以邮箱必须是:

  1. 常用的域名邮箱:admin@xxx.com, webmaster@xxx.com
  2. 你注册域名时,在Whois信息中填写的邮箱

如果这里面没有您的邮箱,请不要随意选择。您可以:1.到Whois信息中修改自己的邮箱,再刷新页面,重复粘贴CSR的步骤;2.申请一个属于自己的域名邮箱,并等待生效(最长24小时)后再说。如果提示您邮箱无效,是否要继续,就要注意了。 由于比尔盖子已经有了admin@biergaizi.com,就直接选择了。

填写接收邮箱和个人信息

我们可以看到,在这里,我们有需要填写一次电子邮箱。刚才填写的,是可能会用于确认域名所有权的电子邮箱,而现在则需要填写接收证书的电子邮箱。两个邮箱建议使用同一个,可以省去中间的确认步骤。

填写邮箱和个人信息

填写邮箱和个人信息

接下来,需要填写个人信息。这个个人信息是证书提供商备案用的,不会出现在最终网站访客可以看到的证书文件中,所以请如实填写。

告一段落,等待邮件

下一步,我们可以看到如下画面。提交CSR文件的步骤已经大功告成了。接下来的几个小时,会有一封确认邮件发送至您的确认邮箱中。

告一段落

告一段落

确认邮件

验证邮件和验证码

验证邮件和验证码

很快,就会有一封电子邮件发送至您的确认邮箱中。我们只需要点击提供的链接,并复制粘贴输入下面的黑体验证码即可。

输入验证码

输入验证码没有什么特殊的,只是记住如果出错,不要使用浏览器的“前进”或者“后退”按钮,而是要重新打开链接并开始。

输入验证码

输入验证码

验证码正确

验证码正确

证书来了

在完成验证后的几个小时之内,证书就将通过邮件附件发送给你。对于Comodo,会收到两封邮件。其中一封是关于SSL标志的邮件,没什么用;另一封则是我们想要的证书。

没什么用的“SSL自豪标志”

没什么用的“SSL自豪标志”

真正有用的证书

真正有用的证书

配置服务器

这个下次再写……

Hello HTTPS! | 本站已启用HTTPS全程加密

为了提高本站的安全性,减少某些悲剧的发生,本站已强制使用Comodo的HTTPS证书,以启用HTTPS全程加密。

启动加密以后,本站的访问速度将会变慢,也更不容易被百度和谷歌收录。但是换来了更高的安全性!

#!/bin/bash
echo "Hello Comodo SSL Certificate"
echo "Hello SSL“
echo "Hello HTTPS"

最新更新:在线路不抽风的前提下,学校电信通 网络访问本站SSL速度很快,几乎与一般的HTTP无异!

折腾够了,购买国外主机;网站恢复,有大变更!

在使用免费空间的两年里,站长使用过了:

用着胆战心惊总认为我的站会被停的5944骗子免费主机;
用着不踏实总认为信产部会杀过来的国内免费主机;
用着别扭虽是20G但总是被和谐的德国主机;
电信能上我网通不能上的某某论坛大力推荐主机;
速度不错但是各种函数都不支持的国外主机;
非常好用但最终被停的000webhost免费主机…………

现在彻底折腾够了,购买的godaddy的收费主机,这可是全球第一的主机公司啊,不用担心被骗。

他们的主机支持支付宝,支付很方便,只用了50$,折合人民币300多,就买了一款10G的主机,而这才是最基本的方案,它们的优惠方案一年也只要500人民币,就可以买一款100G的主机。

主机的功能很强大!

一开始我买的LINUX主机的IP是被和谐的,按照网上的方法请求更换操作系统到WINDOWS,IP果然就变成了可用的。

不过,只有LINUX才可采集,又换回LINUX,不过又变成了被和谐的那个IP,我的访问者总不能永远翻墙浏览吧!最恨那些用国外主机作非法站的人,把这么多人都牵连了!

于是我准备买独立IP,以防止共享IP被和谐。但是也太贵了,一年不亚于主机的钱。

后来根据网上的可靠情报,购买SSL证书(你输密码是总是有的一个“安全访问”,那个连接就是连接到SSL加密的地址)还送独立IP!

而且支付的时候使用cjcssl12b1这个优惠码,可以便宜到一年12.99$,太值了!

又在国内购买了一个80块的域名,这样就算安定下来了。

现在网站做出的改变如下:

1.停用mycatbbs.cn域名,改用biergaizi.com(“比尔盖子”的拼音),
主站 biergaizi.com
论坛 bbs.biergaizi.com
站长博客 blog.biergaizi.com 2011 8月更新 已变为biergaizi.info

还有就是以前的域名不能加www,现在使用www.biergaizi.com也可以正常访问了!

目前域名部分地区仍未生效,如果某些地区无法访问,或者将来出现什么问题,都可以尝试使用173.201.135.19这个IP访问。
(主站直接输入,论坛 173.201.135.19/bbs)

2.因为本站意外被停,数据只能全部回档到今年4月的数据,后来新注册的会员无法访问,一些帖子和恢复将丢失,请谅解,因为这是一次意外。

3.godaddy主机,电信访问慢,网通访问快,请电信用户多等待一会。

Copyright © 2018 比尔盖子 博客

Theme by Anders NorenUp ↑