什么是ssl證書？

SSL證書是數(shù)字證書的一種，類似于駕駛證、護(hù)照和營業(yè)執(zhí)照的電子副本。因為配置在服務(wù)器上，也稱為SSL服務(wù)器證書。

SSL 證書就是遵守 SSL協(xié)議，由受信任的數(shù)字證書頒發(fā)機構(gòu)CA，在驗證服務(wù)器身份后頒發(fā)，具有服務(wù)器身份驗證和數(shù)據(jù)傳輸加密功能。

為什么要使用ssl證書？

現(xiàn)在都提倡全站HTTPS，一方面是為了網(wǎng)站安全，另一方面我是一個愛折騰的人，個人博客使用SSL證書還是會讓用戶感覺更安全，有利于提升用戶體驗。

http的風(fēng)險

你的網(wǎng)站是否出現(xiàn)過這樣的情況：

在火狐瀏覽器上顯示：

image

在谷歌Chrome瀏覽器上顯示：

image

普通網(wǎng)站倒是沒什么要緊，也絲毫不影響正常使用，但是如果你是購物網(wǎng)站或者是與金融相關(guān)、與個人信息相關(guān)的網(wǎng)站，用戶看到這個不安全提示，會不會有所顧慮，用戶體驗會不會很差呢？

image

用專業(yè)的術(shù)語總結(jié)一下HTTP的問題：

（1） 竊聽風(fēng)險：第三方可以獲知通信內(nèi)容。

（2） 篡改風(fēng)險：第三方可以修改通信內(nèi)容。

（3） 冒充風(fēng)險：第三方可以冒充他人身份參與通信

HTTP網(wǎng)站的威脅

1. HTTP 協(xié)議通信過程是完全開放的，可以輕易的監(jiān)聽和修改途經(jīng)的數(shù)據(jù)報，導(dǎo)致信息的泄露和惡意篡改。

2. HTTP協(xié)議沒有用戶和網(wǎng)站的身份驗證機制，用戶在瀏覽器上敲入的網(wǎng)址， 有可能被DNS劫持， 從而導(dǎo)致用戶瀏覽器被導(dǎo)向了偽造的網(wǎng)站，重要信息如賬號密碼被騙取。

3. HTTP通信過程被惡意劫持和篡改是普通用戶無法分辨的，所有問題責(zé)任歸咎于網(wǎng)站或者APP開發(fā)者， 對網(wǎng)站和APP的正常經(jīng)營和品牌造成不利影響。

4. 黑客在HTTP通信過程中，插入惡意代碼或病毒，進(jìn)行雙向入侵和攻擊。

好了廢話不多說了，下面開始講解如何安裝ssl證書：

安裝證書

申請證書種類

目前在 SSL證書購買時，有三種不同的資料驗證方式，從而產(chǎn)生了三類SSL證書：域名型SSL證書（DV SSL）、企業(yè)型 SSL 證書（OV SSL）、增強型 SSL 證書（EV SSL） 。

關(guān)于這三種證書，想了解更多的，可以自行去百度。

在這里主要是介紹的是域名型ssl證書的安裝。
關(guān)于域名型ssl證書很多大廠都提供了相關(guān)服務(wù)，比如騰訊、阿里等。

申請

申請的前提是你得有域名，而且還是備案通過了的域名。這里以騰訊為例，當(dāng)然也可以去阿里，這個不是很重要，因為給你頒發(fā)證書的是第三方組織。
點擊申請

image

這里的域名證書分為三種類型：泛域名、多域名和單域名，普通用戶或小型企業(yè)單域名用的多，因為只有單域名有免費版，有效期一年。泛域名和多域名的話價格就非常貴了，記住是非常貴。

image

這里可選亞信、賽門鐵克等都行，都有免費版的。

填寫申請域名和郵箱，下一步

image

選擇手動認(rèn)證--確認(rèn)

image

點擊“查看證書詳情”接下來就到你的云服務(wù)器控制臺把這一條解析記錄添加進(jìn)去即可。

image

解析記錄添加完成，大概幾分鐘過后審核就能通過，下載證書。
騰旭證書文件加會有Apache、Tomcat、nginx、IIS四種服務(wù)器類型的證書，證書安裝方法可以參考官方文檔：https://cloud.tencent.com/document/product/400/4143

image

以nginx為例，現(xiàn)將證書存到/usr/local/nginx/conf路徑下的photo_cert文件夾下，然后修改nginx的配置文件nginx.conf,指定證書位置

image

若服務(wù)器沒有開放 443 端口，需要在控制臺將 443 端口開放。

每次修改完nginx的配置文件，需將其重啟方能生效

至此，證書的安裝已經(jīng)完成。但是當(dāng)你在瀏覽器輸入域名的時候，默認(rèn)打開的還是HTTP，這是因為nginx默認(rèn)監(jiān)聽80端口，ssl證書監(jiān)聽的是443端口，這時你可以讓服務(wù)器自動把 HTTP 的請求重定向到 HTTPS。

在服務(wù)器這邊的話配置的話，可以在頁面里加 js 腳本，也可以在后端程序里寫重定向，當(dāng)然也可以在 web 服務(wù)器來實現(xiàn)跳轉(zhuǎn)。Nginx 是支持 rewrite 的，所以只需要簡單的修改nginx的配置文件即可，在 HTTP 的 server 里增加代碼：

rewrite ^(.*) https://$host$1 permanent;

image

重啟nginx，證書安裝完成。

image

友情提示：證書安裝成功之后，當(dāng)你在網(wǎng)站中引入非HTTPS的鏈接的時候，瀏覽器也會提示該網(wǎng)站有部分內(nèi)容不安全，當(dāng)然這絲毫不會影響使用，但是對于有強迫癥的人來說或許有些難受，在這里你可能會用到oss對象存儲，個人推薦七牛云或者阿里云。