HTTPS安全网站的搭建

■ 河北科技师范学院 赵学作 秦皇岛市睿讯网络科技有限公司 赵少农

编者按：HTTPS是以安全为目标的HTTP通道，用于安全的HTTP数据传输。现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。

网站没有使用HTTPS时，浏览器会报不安全，而且在别人访问该网站时，很有可能会被运营商劫持。

申请CA证书

如果要启用HTTPS，需要从证书授权机构处获取一个证书，便宜SSL是一家国内的SSL证书提供商，从https://www.pianyissl.com/#/order/buy就可以申请拥有免费证书。登录后，选择“体验版单域名SSL”的”免费测试”,根据提示操作并通过验证即可。

获取服务器证书文件

下载证书ZIP压缩包，会得到多个证书，包括：IIS、Apache、Tomcat、Nginx等多种WEB服务器的证书。

搭建HTTPS安全网站

1.Windows IIS7/8安装

（1）将证书压缩包后解压，找到压缩后的目录里的“/IIS/”目录下的server.pfx文件，放到服务器中。

（2）进 入IIS管 理 控制台的服务器证书管理页面，右键选择“导入”，选择server.pfx文件，并输入密钥文件保护密码（即IIS/目录下的password.txt中的密码内容），并勾选“标志此密钥为可导出”，否则有些情况可能会无法完成证书安装。。

（3）选中需要配置证书的站点，并选择右侧“编辑站点”下的“绑定” ，选中您刚才安装的服务器证书文件 ，配置默认的https访问端口443，重启IIS并使用https方式访问测试站点证书安装。 （一定保证防火墙允许443端口）。

（4）重启动IIS后即可以https方式访问此网站了。

2.Nginx安装服务器证书

复 制server.key、server.crt 文件到 Nginx安装目录下的 conf 目录。

打开 Nginx 安装目录下conf 目录中的 nginx.conf文件

找到如止下内容：

#HTTPS server

#

#server {

# listen 443;

# server_name localhost;# ssl on;

# ssl_certificate cert.crt;

# ssl_certificate_key cert.key;

# ssl_session_timeout 5m;

# ssl_protocols SSLv2 SSLv3 TLSv1;

# ssl_ciphers AL L:!ADH:!EXPORT56:R C4+RSA:+HIGH:+MED IUM:+LOW:+SSLv2:+EXP;

# ssl_prefer_server_ciphers on;

# location / {

# root html;

# index index.html index.htm;

# }

#}

将其修改为

server {

listen 443;

server_name localhost;

ssl on;

ssl_certificate server.crt;

ssl_certificate_key server.key;

ssl_session_timeout 5m;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers ECDH:AES GCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;

ssl_prefer_server_ciphers on;

location / {

root html;

index index.html index.htm;

}

}

保存退出，并重启Nginx。

通过 https 方式访问您的站点，测试站点证书的安装配置。

3.Apache 2.2.* 的配置

打开apache安装目录下conf目录中的httpd.conf文件，找到

#LoadModule ssl_module modules/mod_ssl.so

#Include conf/extra/httpd-ssl.conf

删除行首的配置语句注释符号“#” ，保存退出。

打开apache安装目录下conf/extra目录中的httpd-ssl.conf文件 ，在配置文件中查找以下配置语句

SSLCertificateFile conf/ssl.crt/server.crt#将服务器证书配置到该路径下

SSLCertificateKeyFile conf/ssl.key/server.key#将服务器证书私钥配置到该路径下

#SSLCertificateChainF ile conf/ssl.crt/ca.crt删除行首的“#”号注释符，并将CA证书 ca.crt配置到该路径下，保存退出，并重启Apache。

另外，建议在httpdssl.conf里进行如下操作：

（1）添加SSL 协议支持语句，关闭不安全的协议和加密套件:

SSLProtocol all-SSLv2 -SSLv3

（2）修改加密套件如下:

SSLCipherSuite AESGCM:ALL:!DH:!EXPORT:!RC4:+H IGH:!MEDIUM:!LOW:!aNULL:!eNULL;

4.Tomcat SSL证书配置

请准备好.jks文件 定位到tomcat的安装目录，找到conf下的server.xml文件，找到相应的代码，按照您服务器实际情况修改配置文件：

maxThreads="150"scheme="https"secure="true"

clientAuth="false"sslProtocol="TLS"

keystoreFile="keysto re.jks" keystorePass="password.txt中的密码内容"

ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"

/>

5.phpStudy环境如何安装SSL

修改apache目录下的httpd.conf配置文件。

#LoadModule ssl_module modules/mod_ssl.so #删除行首的配置语句注释符号“#”。

#Include extra/httpdssl.conf #将这行的注释的“#”去掉

编辑extra/httpd-ssl.conf文件，修改如下内容：

ServerName 后面改成你的网站域名，可不带端口号

DocumentRoot后面改成网站路径

SSLCertificateFile 后面改成server.crt文件路径

SSLCertificateKeyFile后面改成server.key文件路径

SSLCertificateChainFi le 后面改成ca.crt文件路径

ErrorLog 这行开头的可以注释掉(前面加#号）

TransferLog 这行开头的可以注释掉(前面加#号）

CustomLog 这行开头的可以注释掉(前面加#号）

phpstudy配置指定路径访问https（此步可以不做）。

RewriteEngine on

RewriteCond%{REQUEST_URI} /homework

RewriteRule^(.*)?$https://%{SERVER_NAME}$1[L,R]

保存退出，并重启Apache。