服务器ssl证书配置指南

/ 0评 / 0

首先通过腾讯云官网可以免费申请证书

https://www.qcloud.com/product/ssl

1. Apache 2.x 证书部署

 

1.1 证书安装

编辑Apache根目录下 conf/httpd.conf 文件,
找到 #LoadModule ssl_module modules/mod_ssl.so 和 #Include conf/extra/httpd-ssl.conf,去掉前面的#号注释;
编辑Apache根目录下 conf/extra/httpd-ssl.conf 文件,修改如下内容:

<VirtualHost www.domain.com:443>
    DocumentRoot "/var/www/html"
    ServerName www.domain.com
    SSLEngine on
    SSLProtocol TLSv1 TLSv1.1 TLSv1.2 
    SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
    SSLCertificateFile /usr/local/apache/conf/2_www.domain.com_cert.crt
    SSLCertificateKeyFile /usr/local/apache/conf/3_www.domain.com.key
    SSLCertificateChainFile /usr/local/apache/conf/1_root_bundle.crt
</VirtualHost>


配置完成后,重新启动 Apache 就可以使用https://www.domain.com来访问了。

 

2. Nginx 证书部署

 

2.1 证书安装

将域名 www.domain.com 的证书文件1_www.domain.com_bundle.crt 、私钥文件2_www.domain.com.key保存到同一个目录,例如/usr/local/nginx/conf目录下。
更新Nginx根目录下 conf/nginx.conf 文件如下:

server {
        listen 443;
        server_name www.domain.com; #填写绑定证书的域名
        ssl on;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; 
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_certificate 1_www.domain.com_bundle.crt;
        ssl_certificate_key 2_www.domain.com.key;
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配置
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照这个套件配置
        ssl_prefer_server_ciphers on;
        location / {
            root   html; #站点目录
            index  index.html index.htm;
        }
    }


配置完成后,就可以使 https://www.domain.com 来访问了。

 

3. IIS 证书部署

 

3.1 证书安装

1、打开IIS服务管理器,点击计算机名称,双击‘服务器证书’
3.2.1

2、双击打开服务器证书后,点击右则的导入
3.2.2

3、选择证书文件,如果输入申请证书时有填写私钥密码需要输入密码,点击确定。参考私钥密码指引
3.2.3

4、点击网站下的站点名称,点击右则的绑定
3.2.4

5、打开网站绑定界面后,点击添加
3.2.5

6、添加网站绑定内容:选择类型为https,端口443和指定对应的SSL证书,点击确定
3.2.6

7、添加完成后,网站绑定界面将会看到刚刚添加的内容
3.2.7

3.2.1 配置TSL协议

方法一

Windows 2008及更早的版本不支持TLS1_2协议 所以无法调整 2008R2 TLS1_2协议默认是关闭的 需要启用此协议达到ATS要求

以2008 R2为例,导入证书后没有对协议及套件做任何的调整。
证书导入后检测到套件是支持ATS需求的,但协议TLS1_2没有被启用,ATS需要TLS1_2的支持。可使用的ssltools工具(亚洲诚信提供,点击下载)启用TLS1_2协议

1

勾选三个TLS协议并重启系统即可。
如果检查到PFS不支持,在加密套件中选中带ECDHE和DHE就可以了。

方法二

开始——运行 输入regedit
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols右键->新建->项->新建TLS 1.1,TLS 1.2
TLS 1.1和TLS 1.2 右键->新建->项->新建Server, Client
在新建的Server和Client中都新建如下的项(DWORD 32位值), 总共4个
DisabledByDefault [Value = 0]
Enabled [Value = 1]

2

完成后重启系统

加密套件调整
对于前向保密加密套件不支持的话可通过组策略编辑器进行调整。
开始菜单——运行、输入gpedit.msc 进行加密套件调整 在此操作之前需要先开启TLS1_2协议

3
双击SSL密码套件顺序

4

把支持的ECDHE加密套件加入SSL密码套件中 以逗号(,)分隔
打开一个空白写字板文档。
复制下图中右侧可用套件的列表并将其粘贴到该文档中。
按正确顺序排列套件;删除不想使用的所有套件。
在每个套件名称的末尾键入一个逗号(最后一个套件名称除外)。确保没有嵌入空格。
删除所有换行符,以便密码套件名称位于单独的一个长行上。
将密码套件行复制到剪贴板,然后将其粘贴到编辑框中。最大长度为 1023 个字符

5

可将以下套件加入密码套件中
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

苹果的ATS认证检测可以通过腾讯云官网进行检查,打开下面地址输入域名即可:

https://www.qcloud.com/product/ssl

发表评论

电子邮件地址不会被公开。 必填项已用*标注