至从百度等大网站实现HTTPS后,网站部署HTTPS变得流行起来。
由于HTTP协议采用明文传输信息,存在信息窃听、篡改和劫持的风险。最一般的解决方法是对关键信息进行加密再传,如MD5、SHA1、DES等加密算法,这些都只是对部分信息进行加密,且都有解密方法,在专业人士那里解密只是时间问题。
而HTTPS是整个数据包先加密后再传输,使用安全套接字层(SSL)进行信息交换,安全性更高,很好的解决了以上信息传输风险。HTTPS是HTTP的安全版。
简单说一下SSL原理,SSL证书存放于服务器和浏览器。是由受信任的数字证书颁发机构CA颁发,服务器把SSL证书当成密钥,如果收到的数据能被这个密钥解开,那说明数据是合法的。浏览器要解析数据也需要有密钥,只是SSL技术已内建于浏览器中,我们感觉不到而以。当然浏览器密钥和服务器的密钥是不同的,可理解为两把钥匙开同一把锁。
证书颁发机构只收网站主的钱,而浏览网站的人免费,这样推广起来也容易。SSL证书分有:DV域名型证书、OV企业型证书和EV增强型证书。级别越高审核越严,同时赔付保障金也越高。认证费用从每年2000元至几万元不等,也有免费的,但不是主流,免费只能算是前期的市场普及活动而已。
正好腾讯云有个免费的SSL证书,我们就来实际操作一下:
腾讯云网址:https://cloud.tencent.com,用QQ帐号登录,登录后进入【控制台】,然后从菜单上选择【云产品】-【域名服务】-【SSL证书管理】
然后点击【申请证书】:
选免费版DVSSL证书,按【确定】键。
进入下图界面:
【通用名称】填你要认证的网址,【申请邮箱】只是用于接收通知,【证书备注名】只是腾讯云上的一个标记,【私钥密码】可不填,申请通过后会有个随机密码给到你。
填好后按【下一步】,来到以下界面:
注意这里要选【文件验证】,因为要是选【手动DNS验证】,就需要给域名解析一条TXT记录,这里的主机头会含有一个点号,很多域名管理平台都无法添加含点号的主机头。
选了【文件验证】,按【确认申请】。腾讯云会生成一串验证字符,并要求你在所申请的网站根目录下生成【.well-known/pki-validation/fileauth.txt】文件,把这串验证字符存在这个文件里。
这里会碰到一个问题【.well-known】无法生成,【我的电脑】中无法生成含有点号开头文件夹,这时只有通过DOS命令mkdir来创建。
进入DOS,cd至站点根目录,然后输入
mkdir .well-known
回车即可生成这个文件夹了。
做好fileauth.txt文件后,腾讯云会自动验证,不到5分钟腾讯云就会验证通过。
这时腾讯云会有SSL证书下载的链接,下载后解压,选其中的【IIS】
keystorePass.txt是证书密码,将在下面的安装中用到,xiao.workneed.com.pfx是证书文件,名称由你所申请的域名决定。
到此,SSL证书的申请工作完成。下面就来介绍如何安装SSL证书了。
把pfx证书文件上传到服务器,可放在站点某目录下。虽然也可以放在其它目录,只是担心以后时间久了会忘记,所以选放在站点目录里。
然后打开IIS管理控制台,右边双击【服务器证书】
弹出如下界面:
【证书文件】就是选择刚在腾讯云申请的pfx证书文件。
【密码】就是腾讯云发来的keystorePass.txt文件内容。
按【确定】后,算是把证书导入到了IIS。下一步是给站点绑定域名。
我们来选IIS的指定站点,右击这个站点,在弹出的菜单中选【编辑绑定】:
弹出如下界面:
