Когда я вышел играть на Праздник лодок-драконов, позвонил босс и сказал, что срок действия HTTPS сайта компании истек, и я не могу получить к нему доступ (см. рисунок ниже), и попросил меня немедленно обновить его. Жаль, что я тогда не взял с собой компьютер, так что я ничего не мог сделать, но это беспокоило начальство.
Ни в коем случае, только спешить первым, я могу это сделать только когда у меня есть компьютер. Нажмите «Дополнительно», вы увидите следующую информацию:
z.xxxx.cn обычно использует технологию шифрования для защиты вашей информации. Когда Google Chrome на этот раз попытался подключиться к z.xxxx.cn, сайт отправил обратно необычно неправильные учетные данные. Это может быть связано с тем, что злоумышленник пытался выдать себя за z.xxxx.cn, или экран входа в систему Wi-Fi прервал соединение. Будьте уверены, что ваша информация по-прежнему в безопасности, так как Google Chrome прервал соединение без обмена данными.
В настоящее время вы не можете получить доступ к z.xxxx.cn, поскольку этот сайт использует HSTS. Сетевые ошибки и атаки обычно носят временный характер, поэтому эта страница может вернуться в нормальное состояние позже.
Я использую сертификат FreeSSL. Причина очень проста. Босс не хочет платить. Этот сертификат можно использовать бесплатно только в течение одного года для каждого приложения.
FreeSSLЭто веб-сайт, который предоставляет бесплатное приложение для сертификатов HTTPS, управление сертификатами HTTPS и услуги напоминания об истечении срока действия сертификатов HTTPS.Он направлен на популяризацию и применение сертификатов HTTPS и упрощение процесса применения сертификатов.
Поскольку я уже регистрировался ранее, я могу увидеть информацию об истечении срока действия из списка сертификатов в «Консоли».
К сожалению, нет возможности повторно подать заявку напрямую. Вы можете только повторно заполнить доменное имя на главной странице и нажать «Создать бесплатный SSL-сертификат».
Просто выберите "TRUSTAsia" для сертификата бренда. Его можно использовать в течение одного года бесплатно, и вы можете повторно подать заявку, когда он истечет. Хоть это и немного хлопотно, но может сэкономить боссу немного денег.Посмотрите на меня, добросовестного работника.
После того, как вы закончите, вы будете перенаправлены на страницу ниже, и обязательно укажите свой адрес электронной почты.
Некоторые учащиеся могут не знать об этих вариантах, я объясню их здесь:
1) Тип сертификата
Я выбрал RSA, так что же такое ECC и в чем разница между ними?
HTTPS обеспечивает три функции: шифрование контента, аутентификацию личности и целостность данных через уровень TLS и механизм сертификатов, которые могут эффективно предотвращать мониторинг или подделку данных, а также могут противостоять атакам MITM (человек посередине). При реализации шифрования TLS требуются два алгоритма: асимметричный обмен ключами и симметричное шифрование содержимого.
Сила шифрования симметричного контента очень высока, скорость шифрования и дешифрования также высока, но невозможно безопасно генерировать и хранить ключи. В протоколе TLS данные приложения передаются после симметричного шифрования, а симметричный ключ, используемый при передаче, получается путем обмена асимметричным ключом на этапе установления связи. Общие AES-GCM и ChaCha20-Poly1305 являются алгоритмами симметричного шифрования.
Обмен асимметричным ключом может генерировать симметричный ключ шифрования, известный только взаимодействующим сторонам в незащищенном канале данных. В настоящее время наиболее часто используемыми алгоритмами обмена ключами являются RSA и ECDHE: RSA имеет долгую историю и хорошую поддержку, но не поддерживает PFS (Perfect Forward Secrecy); в то время как ECDHE — это алгоритм DH (Diffie-Hellman), использующий ECC ( эллиптическая кривая), скорость вычислений высокая, поддерживается PFS.
Тебя это вдруг разбудило?
2) Тип аутентификации
Я выбрал проверку файлов, так что же такое проверка DNS и в чем разница между ними?
Прежде всего, нам нужно понять, что ЦС (центр сертификации) должен проверить, являемся ли мы владельцем доменного имени, прежде чем выдавать нам сертификат.
Проверка файлов (HTTP): ЦС подтвердит, что мы владеем доменным именем, посетив определенный URL-адрес. Поэтому нам необходимо скачать данный файл проверки и загрузить его на ваш сервер.
Проверка DNS: CA определит наше право собственности на доменное имя, запросив запись TXT DNS. Нам нужно только добавить сгенерированное имя записи TXT и значение записи к доменному имени на платформе управления доменными именами и подождать около 1 минуты, чтобы убедиться в успехе.
Поэтому, если вам удобно работать с сервером, вы можете выбрать проверку файлов, если вам удобнее работать с сервером доменных имен, вы можете выбрать проверку DNS. Если оба удобны, смело выбирайте.
3) генерация КСО
Я выбрал автономную генерацию, которую теперь рекомендует FreeSSL, так в чем разница между тремя вариантами?
Генерация в автономном режиме: закрытый ключ шифруется и хранится локально, что более безопасно; открытый ключ синтезируется автоматически, поддерживается преобразование распространенных форматов сертификатов, что удобно для развертывания; поддерживается развертывание некоторых веб-серверов одним щелчком мыши, что очень удобно.
При создании в автономном режиме вам необходимо сначала установить KeyManager, который может обеспечить безопасное и удобное применение сертификата SSL и управление им. Адрес загрузки следующий:
Создание браузера: если браузер поддерживает веб-криптографию, браузер будет использоваться для создания файла CSR на основе информации пользователя.
Веб-криптография, веб-криптография, JavaScript API для выполнения основных криптографических операций в веб-приложениях. Многие браузеры не поддерживают
У меня есть CSR: я могу вставить свой собственный CSR и создать его.
Поняв разницу, выберите «Нажмите, чтобы создать».Если KeyManager не установлен, появится диалоговое окно с запросом на его установку.
Просто нажмите «Установить KeyManager» для загрузки.
Дважды щелкните, чтобы запустить установку, и после успеха откройте KeyManager.
После ввода пароля нажмите «Пуск», подождите некоторое время, и появится следующий интерфейс.
Вернитесь на домашнюю страницу FreeSSL и щелкните ссылку «Попробуйте снова запустить KeyManager» в красном поле на изображении ниже.
Обратите внимание на изменения в интерфейсе KeyManager, появится информация в следующем интерфейсе.
Вы можете вернуться на страницу браузера и нажать кнопку «Продолжить»:
Появится всплывающее сообщение для проверки файла:
Нажмите «Скачать файл» в правом нижнем углу.
Ок, теперь ссылка на сервер, залейте скачанный файл по пути указанному в "Путь к файлу", путь должен совпадать, иначе проверка не может быть завершена.
После того, как файл успешно загружен, вы можете «щелкнуть, чтобы подтвердить», и через некоторое время появится следующее сообщение:
Нажмите «Сохранить в KeyManager», чтобы увидеть, что срок действия сертификата был продлен.
Выберите «Экспорт сертификата»:
Мое серверное программное обеспечение использует Tomcat, поэтому выбранный формат экспорта — jks. Запомните свой пароль для шифрования закрытого ключа, вы будете использовать его позже.
Нажмите кнопку «Экспорт», когда закончите.
Загрузите сгенерированный сертификат на сервер.
Затем откройте файл server.xml Tomcat и настройте ссылку Connector.
<Connector port="81" protocol="HTTP/1.1"
maxThreads="250" maxHttpHeaderSize="8192" acceptCount="100" connectionTimeout="60000" keepAliveTimeout="200000"
redirectPort="8443"
useBodyEncodingForURI="true" URIEncoding="UTF-8"
compression="on" compressionMinSize="2048" noCompressionUserAgents="gozilla, traviata"
compressableMimeType="text/html,text/xml,application/xml,application/json,text/javascript,application/javascript,text/css,text/plain,text/json,image/png,image/gif"/>
<Connector
protocol="org.apache.coyote.http11.Http11NioProtocol"
port="443" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="/home/backup/xxx.cn.jks" keystorePass="Chenmo"
clientAuth="false" sslProtocol="TLS"
useBodyEncodingForURI="true" URIEncoding="UTF-8"
compression="on" compressionMinSize="2048" noCompressionUserAgents="gozilla, traviata"
compressableMimeType="text/html,text/xml,application/xml,application/json,text/javascript,application/javascript,text/css,text/plain,text/json,image/png,image/gif"
/>
где keystorePass — зашифрованный пароль закрытого ключа при экспорте сертификата.
После перезапуска Tomcat повторно посетите веб-сайт и обнаружите, что веб-сайт вернулся в нормальное состояние.
Хорошо, HTTPS вернулся, поторопись и скажи боссу, сайт нельзя будет использовать несколько дней, продай много вина и заработай много денег, хе-хе.
Студенты, вы научились? Для веб-сайта несложно перейти с HTTP на HTTPS.Согласно этому руководству, которое я дал, это можно легко сделать за пять минут.Ключ в том, что это все еще бесплатно.Очень ароматное предупреждение!
Я Silent King Er, интересный программист. Если вы считаете, что статья полезна для вас, пожалуйста, выполните поиск по запросу "Тихий король 2"Прочтите это в первый раз, ответьте [666] Есть также обучающие видео высокой четкости 500G (по категориям), которые я тщательно подготовил для вас.
эта статьяGitHubОн был включен, и есть полные тестовые площадки для интервью на крупных заводах Добро пожаловать в Star.
Оригинальность непроста, не просите пустой билет, пожалуйста, поставьте лайк этой статье, что будет моей сильнейшей мотивацией писать больше качественных статей.