分类 SSL证书安装指南 下的文章

1、登录到宝塔面板后台 http://服务器IP:8888

2、点击“网站”,选择你要安装SSL证书的网站(跟申请证书时一致的域名),点击“设置”,如下图所示:

3、GoGetSSL SSL证书安装方法

选择“SSL”选项卡,找到“当前证书”,将对应内容粘贴到“密钥(KEY)”和“证书(PEM格式)”两个框内,然后点击“保存”,如下图所示:

4、Sectigo SSL证书安装方法

下载证书后,打开压缩包里的Nginx文件夹,将后缀.key的文件双击打开(或记事本方式打开),将里面的内容复制粘贴到“密钥(KEY)”框内;后缀.pem的文件双击打开(或记事本方式打开),将里面第一,第二段的内容复制粘贴到“证书(PEM格式)”框内,如下图:

宝塔提供"强制HTTPS"的选项,如需可以开启强制HTTPS功能,大家按需选择即可。
至此,宝塔面板网站安装SSL证书启用HTTPS方法结束。

PS: 阿里云,腾讯云服务器需要去服务器控制面板开放443端口。

什么是HSTS

HSTS(HTTP Strict Transport Security)国际互联网工程组织IETE正在推行一种新的Web安全协议,作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。

主要目的是为了解决HTTPS网站首次请求时使用的是未加密的HTTP协议,也就说用户一般访问我们的网站都是直接在浏览器输入域名,比如morong.me,然后我们的服务器检测到是HTTP请求,就301跳转到HTTPS页面。那么前半程采用的就是未加密的HTTP请求,同样存在被劫持的可能,那么HTTPS说好的安全性也就大打折扣了!

开启HSTS

开启HSTS很简单,只要在我们网站的响应头里面新增HSTS即可,下面简单说下

1、Nginx服务器

找到nginx.conf配置文件,在网站的server配置代码里面加入如下代码:

server {
listen xx.xx.xx.xx:443 ssl spdy;
server_name www.gworg.com;
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains"; #加入此行代码

……

}

2、Apache服务器

LoadModule headers_module modules/mod_headers.so

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

3、Lighttpd

server.modules += ( "mod_setenv" )
$HTTP["scheme"] == "https" {
setenv.add-response-header = ( "Strict-Transport-Security" => "max-age=63072000; includeSubdomains; preload")
}

4、通用方法

如果你用的虚拟主机,或者不会折腾WEB软件,那么可以采用更简单的通用方法。原理很简单,通过代码来新增响应头即可,这里只分享一下php的做法,其他语言自行参考:

将如下代码插入到网站根目录的index.php即可:

header("Strict-Transport-Security: max-age=63072000; includeSubdomains; preload");

篇尾语:HSTS有利有弊,启用了的网站如果后期想http访问需要一段时间才可以恢复,另外目前不是所有的浏览器都支持HSTS,所以对于想使用这种方法强制跳转https的用户可以综合考虑下。

一般来说,主流的 Web 服务软件,通常都基于 OpenSSL 和 Java 两种基础密码库。

Tomcat、Weblogic、JBoss 等 Web 服务软件,一般使用 Java 提供的密码库。通过 Java Development Kit (JDK)工具包中的 Keytool 工具,生成 Java Keystore(JKS)格式的证书文件。
Apache、Nginx 等 Web 服务软件,一般使用 OpenSSL 工具提供的密码库,生成 PEM、KEY、CRT 等格式的证书文件。
IBM 的 Web 服务产品,如 Websphere、IBM Http Server(IHS)等,一般使用 IBM 产品自带的 iKeyman 工具,生成 KDB 格式的证书文件。
微软 Windows Server 中的 Internet Information Services(IIS)服务,使用 Windows 自带的证书库生成 PFX 格式的证书文件。
判断证书文件是文本格式还是二进制格式

.DER 或 .CER 文件: 这样的证书文件是二进制格式,只含有证书信息,不包含私钥。
.CRT 文件: 这样的证书文件可以是二进制格式,也可以是文本格式,一般均为文本格式,功能与 .DER 及 *.CER 证书文件相同。
.PEM 文件: 这样的证书文件一般是文本格式,可以存放证书或私钥,或者两者都包含。 .PEM 文件如果只包含私钥,一般用 *.KEY 文件代替。
.PFX 或 .P12 文件: 这样的证书文件是二进制格式,同时包含证书和私钥,且一般有密码保护。

不同服务器部署证书需要不同格式的SSL证书,根据当下常见服务器环境, 为您提供方便快捷的证书格式转换,支持PEM、P12、JKS。

证书格式转换工具:https://myssl.com/cert_convert_wasm.html

阿里云安全组开放端口
阿里云安全组类似虚拟防火墙,默认只开放了22和3389端口

在阿里云服务器ECS控制台
左侧栏选择“实例”,找到需要开放端口的云服务器ECS实例,如果没有,记得切换左上角地域。

点“更多”–“网路和安全组”–“安全组配置”

在“配置规则”中,按照下图开放443端口
如下图:

端口号以开放443端口为例,在安全组规则的“入方向”,点击“手动添加”,规则如下:

端口范围目的:443/443
授权对象源:0.0.0.0/0
授权对象0.0.0.0/0是指授权给所有IP。上述规则的意思是,将云服务器8888端口,授权给所有IP使用。出于安全考虑,授权对象也可以填写IP段或者固定IP地址。

关于安全组参考文档:https://help.aliyun.com/document_detail/25471.html

  1. 1
  2. 2

SSL证书 SSL证书购买 SSL证书申请 SSL证书价格 泛域名证书 通配符证书 通配符SSL证书 https证书 便宜SSL证书 便宜证书 SSL证书多少钱 申请SSL 域名SSL sectigo证书