01. О FreeSSL.cn
FreeSSL.cn – это веб-сайт, предоставляющий бесплатное приложение для сертификатов HTTPS, управление сертификатами HTTPS и услуги напоминания об истечении срока действия сертификатов HTTPS. Он направлен на популяризацию и применение сертификатов HTTPS и упрощение процесса применения сертификатов.
Конечно, то, что я ценю, не свободен, но этот Freessl является очень удобным для использования. Я программист с очень небольшим количеством компьютерных знаний (стыдно), но с Freessl я могу сделать конфигурацию HTTPS Tomcat самостоятельно!
Много лет назад компания хотела подключить интерфейс Хуа Ся Банка, для которого требовался доступ по HTTPS.Купить сертификат стоило около 3000 юаней.В итоге с сертификатом все равно была проблема, а HTTPS не сделали. Короче, яма очень!
FreeSSL.cn очень отличается.Приложение очень удобное и имеет много преимуществ.Его стоит рекомендовать. В конце концов, нет необходимости в электронных письмах и телефонных звонках (возможно, времена улучшились).
-
100% бесплатно навсегда благодаря бесплатным сертификатам SSL от Let's Encrypt и TrustAsia.
-
Перед истечением срока действия сертификата HTTPS FreeSSL.cn незамедлительно напомнит вам о замене сертификата, бесплатная услуга.
-
Закрытые ключи не распространяются по сети, что обеспечивает безопасность сертификатов HTTPS.
02, подать заявку на сертификат с помощью FreessL
первый шаг, введите доменное имя и нажмите «Создать бесплатный SSL-сертификат».
второй шаг, введите адрес электронной почты и нажмите «Создать».
1)Тип сертификатаПо умолчанию RSA
В чем разница между RSA и ECC? Вы можете узнать из следующих пунктов.
HTTPS обеспечивает три функции: шифрование контента, аутентификацию личности и целостность данных через уровень TLS и механизм сертификатов, которые могут эффективно предотвращать мониторинг или подделку данных, а также могут противостоять атакам MITM (человек посередине). При реализации шифрования TLS требуются два алгоритма: асимметричный обмен ключами и симметричное шифрование содержимого.
Сила шифрования симметричного контента очень высока, скорость шифрования и дешифрования также высока, но невозможно безопасно генерировать и хранить ключи. В протоколе TLS данные приложения передаются после симметричного шифрования, а симметричный ключ, используемый при передаче, получается путем обмена асимметричным ключом на этапе установления связи. Общие AES-GCM и ChaCha20-Poly1305 являются алгоритмами симметричного шифрования.
Обмен асимметричным ключом может генерировать симметричный ключ шифрования, известный только взаимодействующим сторонам в незащищенном канале данных. Наиболее часто используемые алгоритмы обмена ключами — RSA и ECDHE:RSAУ него долгая история и хорошая поддержка, но он не поддерживает PFS (Perfect Forward Secrecy), в то время как ECDHE используетECC(Эллиптическая кривая) алгоритм DH (Diffie-Hellman) для расчета скорости, поддержки PFS.
2)Тип аутентификацииПо умолчанию это DNS.
DNSипроверка документовкакие отличия есть? Давайте узнаем вместе.
Во-первых, нам нужно немного понять, CA (власть сертификата, сертификации) необходимо проверить, что у нас есть доменное имя, чтобы дать нам сертификат.
проверка документов(HTTP): ЦС подтвердит, что мы владеем доменным именем, посетив определенный URL-адрес. Поэтому нам необходимо скачать данный файл проверки и загрузить его на ваш сервер.
проверка DNS: Центр сертификации определит наше право собственности на доменное имя, запросив запись TXT DNS. Нам нужно только добавить сгенерированное имя записи TXT и значение записи к доменному имени на платформе управления доменными именами и подождать около 1 минуты, чтобы убедиться в успехе.
Поэтому, если вам удобно работать с сервером, вы можете выбрать проверку файлов, если вам удобнее работать с сервером доменных имен, вы можете выбрать проверку DNS. Если оба удобны, смело выбирайте.
3)CSR GenerationПо умолчанию генерируется в автономном режиме
Автономная генерация,созданный браузеромиу меня есть CSRКакая разница? Приходите, давайте дальше разбираться.
Автономная генерация рекомендовать!!!: закрытый ключ шифруется и хранится локально, что более безопасно; открытый ключ синтезируется автоматически и поддерживает преобразование распространенных форматов сертификатов, что удобно для развертывания; поддерживает развертывание некоторых веб-серверов одним щелчком мыши, что очень удобно.
При создании в автономном режиме вам необходимо сначала установить KeyManager, который может обеспечить безопасное и удобное применение сертификата SSL и управление им. Адрес загрузки следующий:keymanager.org/
Для Windows выберите «Запуск от имени администратора» при установке.
созданный браузером: В поддержке браузераWeb Cryptography, файл CSR будет создан на основе информации пользователя с помощью браузера.
Веб-криптография, сетевой пароль, JavaScript API для выполнения основных операций шифрования в веб-приложении. Многие браузеры не поддерживают
у меня есть CSR: Вы можете вставить свой собственный CSR и создать его.
третий шаг, выберите автономную генерацию, откройте KeyManager
После ввода пароля нажмите «Пуск», подождите некоторое время, и появится следующий интерфейс.
четвертый шаг, вернитесь в браузер, нажмите «Далее», появится следующий интерфейс.
пятый шаг, загрузите файл и загрузите его в указанный каталог на сервере.
Шаг 6, нажмите «Подтвердить», после прохождения появится следующий интерфейс.
Шаг 7, нажмите «Сохранить в KeyManager», вы увидите, что статус сертификата изменился на выдан.
03. Настройте сертификат формата jks для Tomcat
первый шаг, экспортируйте сертификат. Если сервер выбирает Tomcat, вам необходимо экспортировать сертификат в формате Java keystone (сокращение от jks).
Примечание. Пароль для закрытого ключа используется при настройке Tomcat.
второй шаг, загрузите сертификат на сервер.
третий шагНастройте Tomcat Server.xml.
<Connector port="81" protocol="HTTP/1.1"
maxThreads="250" maxHttpHeaderSize="8192" acceptCount="100" connectionTimeout="60000" keepAliveTimeout="200000"
redirectPort="8443"
useBodyEncodingForURI="true" URIEncoding="UTF-8"
compression="on" compressionMinSize="2048" noCompressionUserAgents="gozilla, traviata"
compressableMimeType="text/html,text/xml,application/xml,application/json,text/javascript,application/javascript,text/css,text/plain,text/json,image/png,image/gif"/>
<Connector
protocol="org.apache.coyote.http11.Http11NioProtocol"
port="443" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="/home/backup/qingmiaokeji.cn.jks" keystorePass="Chenmo"
clientAuth="false" sslProtocol="TLS"
useBodyEncodingForURI="true" URIEncoding="UTF-8"
compression="on" compressionMinSize="2048" noCompressionUserAgents="gozilla, traviata"
compressableMimeType="text/html,text/xml,application/xml,application/json,text/javascript,application/javascript,text/css,text/plain,text/json,image/png,image/gif"
/>
где keystorePass — зашифрованный пароль закрытого ключа при экспорте сертификата.
четвертый шаг, перезапустите Tomcat и введите в адресной строке браузераhttps://qingmiaokeji.cn/провести тестирование.
Заметьте, нет, перед адресной строкой браузера есть зеленый защитный замок, что означает, что конфигурация HTTPS прошла успешно! Что ж, подарите себе аплодисменты!
04. Наконец
Вы заказали пятиминутные песочные часы? Если HTTPS не будет успешно настроен через пять минут, приходите и побейте меня!