SSL證書在網站傳輸過程中加密的優勢是有目共睹的,確保網站信息在傳輸過程中的安全性,提高網站的安全等級,增加用戶對網站的信任度,有利於網站的排名和提升企業形象。
目前SSL證書的安裝要根據不同的服務器,安裝步驟也是不一樣的。下面就講講不同的服務器的安裝步驟。
一、使用微軟的互聯網信息服務(IIS)安裝
1、生成證書請求文件(CSR)。在購買並安裝SSL證書之前,你必須在服務器上製作一個CSR文件。該文件中的公鑰會用來生成私鑰。在IIS中輸入如下命令能直接生成CSR:
打開OpenSSL工具,路徑一般爲/usr/local/ssl/bin/。
輸入如下命令生成密鑰:
"
openssl genrsa –des3 –out www.mydomain.com.key 2048
"
設置密碼。以後每次用到密鑰時都會要求你輸入密碼。
開始生成CSR。當收到提示開始創建CSR時,請輸入如下命令:
"
openssl req –new –key www.mydomain.com.key –out www.mydomain.com.csr
"
填好相關信息。這些信息包括:兩位數的國家代碼、州名或省份名、城鎮名、企業全名、部門名稱(如:IT部或市場部)及通用名(也是域名)。
生成CSR文件。填好信息後,輸入以下命令能在服務器上生成CSR文件了:
"
openssl req -noout -text -in www.mydomain.com.csr
"
2、申請SSL證書。申請證書的時候一定要選擇受信任的權威機構頒發的證書,因爲這關係到你和你用戶的安全。比較受歡迎的網站包括合信SSL、Symantec、COMODO、Geotrust、RapidSSL等。要根據自己的需求(如多個證書的申請、企業服務解決方案等)來選擇最適合自己的網站。
在相關網站上申請時,需要提交CSR文件。這樣你的服務器上能生成證書了
3、 下載證書。在你購買證書的網站上,你需要下載一份中級證書。接着,你會通過郵件或在網站客戶區收到一份初級證書
將初級證書重命名爲“網站名.cer”
4、再次在IIS中打開服務器證書工具。單擊“創建證書請求下方”的“完成證書請求”。
5、找到證書文件。一旦將證書文件連接到計算機,你要爲該文件起一個方便在服務器上識別的名稱。確保證書存儲位置爲“個人”。單擊“確定”完成安裝。
這時證書應該會出現在列表上了。如果沒有,確認下你生成CSR的時候是不是使用了同一臺服務器
6、將證書與網站綁定。證書安裝好後,要與你要保護的網站綁定起來。展開“連接”列表上的“網站”文件夾,然後點擊你的網站。
點擊“操作”列表上的“綁定”鏈接。
在彈出的網站綁定窗口中,點擊“添加”按鈕。
在“類型”下拉菜單中選擇“https”,然後在“SSL證書”下拉菜單中選擇你安裝好的證書。
點擊“確定”——“關閉”。
7、 安裝中級證書。找到從證書申請網站上下載下來的中級證書。有些網站會提供不止一個需要安裝的證書,有些網站則只提供一個。將這些證書複製到服務器上一個專門的文件夾裏。
將證書複製到服務器上後,雙擊打開“證書詳細信息”。
單擊“常規”選項卡。單擊窗口底部的“安裝證書”。
選擇“將所有證書都放入下列文件夾”,然後在“顯示本地物理盤”中找到本地存儲區。選擇中級證書,然後單擊“本地計算機”
8、重啓IIS。要開始分配證書,要重啓IIS服務器。點擊“開始”——“運行”,輸入“IISREset”然後按回車。這時命令提示符會出現,同時顯示出IIS的重啓狀態。
9、測試證書,用各種瀏覽器來測試一下SSL證書是否有效。通過https:// 來啓用SSL證書,連接到網站,會看到網址前有一個綠色小鎖的標識
二、使用服務器證書安裝配置指南(Apache)安裝證書
1、 生成CSR,同方法一
2、申請SSL證書,同方法一
3、下載證書。在你購買證書的網站上,你需要下載一份中級證書。接着,你會通過郵件或在網站客戶區收到一份初級證書,其中的密鑰應如下所示:
"
-----BEGIN CERTIFICATE-----
[Encoded Certificate]
-----END CERTIFICATE-----
"
如果證書是文本形式的,那麼在上傳之前,你要先將其轉換爲CRT文件。
檢查下載的密鑰。密鑰中BEGIN CERTIFICATE及ENG CERTIFICATE的兩邊應該各有5個“-”。同時要確保密鑰中沒有多餘的空格或空行。
4、將證書上傳到服務器。證書要放在專門用於存放證書及密鑰文件的文件夾裏。例如,你可以將所有相關文件都存放在如下路徑下:/usr/local/ssl/crt/。
5、在文本編輯器中打開“http.conf”文件。 有些版本的Apache包含一個叫做“ssl.conf”的配置文件。兩個文件只能修改其一。在Virtual Host部分添加如下代碼
"
SSLCertificateFile /usr/local/ssl/crt/primary.crt
SSLCertificateKeyFile /usr/local/ssl/private/private.key
SSLCertificateChainFile /usr/local/ssl/crt/intermediate.crt
"
完成後,保存對文件的修改。必要情況下重新上傳。
6、重啓服務器。文件修改後,只要重啓一下服務器可以開始使用SSL證書了。大多數版本都可以通過如下命令來重啓:
"
apachectlp stop
apachectl startssl
"
7、測試證書。同方法一