一、前言
HTTP 協議是不加密傳輸數據的,也就是用戶跟你的網站之間傳遞數據有可能在途中被截獲,破解傳遞的真實內容,所以使用不加密的 HTTP 的網站是不太安全的。在一些對安全性要求較高的網站,比如銀行、證券、購物等,都采用 HTTPS 服務,這樣在這些網站上的交換信息,其他人抓包獲取到的是加密數據,保證了交易的安全性。網頁的地址以 https:// 開始,而不是常見的 http://。所以, Google 的 Chrome 瀏覽器從 2017 年 1 月開始,標記使用不加密的 HTTP 協議的網站為 Not Secure,不安全。給網站加上 SSL 功能,只要申請一個 SSL 證書,在服務器端配置好,就可以實現 https 訪問了。安全證書分為免費的和收費的,此處我們選擇免費類型的證書。
SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全(Transport Layer Security,TLS)是為網絡通信提供安全及數據完整性的一種安全協議。TLS 與 SSL 在傳輸層對網絡連接進行加密。
二、申請 https 安全證書
由於本人使用的是阿里雲的 ECS 服務器,可以在阿里雲申請免費的 CA 證書。申請證書之后, 系統會按照不同的服務器,提供不同的證書下載,主要支持的服務器有 Nginx、Apache、Tomcat 和 IIS 等。
進入到阿里雲控制台 - 安全(雲盾)- CA證書服務(數據安全),點擊右上方的購買證書,進入到如下頁面:
(免費)購買之后證書服務之后,在"我的訂單"中找到購買的證書記錄,"補全"信息,綁定自己的域名和個人信息,提交之后等待審核,當狀態變為"已簽發"之后,就可以點擊"下載"進入如下頁面,按照不同的服務器下載對應的證書。
由於我的 php 集成環境是 xampp,所以需要在 Apache 中配置安全證書,此處下載 Apache 的安全證書壓縮包。
三、安裝 SSL 證書並開啟 443 端口
首先,編輯 /opt/lampp/etc/httpd.conf,分別查找下面兩項配置,確保去掉前面的 #
LoadModule ssl_module modules/mod_ssl.so
Include etc/extra/httpd-ssl.conf
解壓縮之后如下,可以看到如下文件:
然后將證書文件上傳到自己的服務器中,打開 /opt/lampp/etc/extra/httpd-ssl.conf 文件,找到如下配置項,按照上傳的路徑做配置:
# 證書公鑰配置
SSLCertificateFile "/opt/lampp/etc/ssl.crt/public.pem"
# 證書私鑰配置
SSLCertificateKeyFile "/opt/lampp/etc/ssl.key/2145229xxxxxxxx.key"
# 證書鏈配置
SSLCertificateChainFile "/opt/lampp/etc/chain.pem"
開啟 443 端口:
<VirtualHost _default_:443>
443 端口也是網頁瀏覽端口,但主要是用於 HTTPS 服務,是提供加密和通過安全端口傳輸的。另一種網頁端口是 HTTP,HTTP 主要使用 80 端口。
配置好之后,重啟服務器即可生效。
[root@ryan extra]# /opt/lampp/lampp reloadapache
XAMPP: Reload Apache...ok.
然后還需要在防火牆中放行 443 端口,如果是在阿里雲服務器上,則需要添加安全組規則,如下:
這一步切記不要忘記,提供服務后,一定要開放服務對應的端口,這樣別人才能訪問該服務。
四、驗證
以谷歌 Chrome 為例:
4.1 安裝證書前,瀏覽器顯示不安全:
點擊"不安全",會出現如下提示:
4.2 安裝證書后,瀏覽器有可能顯示如下:
點擊那個帶感嘆號的圓圈,提示如下:
出現這樣的提示是由於網站頁面上包含混合內容導致的,也就是說,網站頁面上包含 http 的資源也包含 https 的資源。通常這種情況是需要在網站頁面上做一些調整才能去除提示。
通過 F12 查看頁面所有的額請求發現,其中有個別資源文件的請求依然是 http,所以需要調整這些不安全的連接。
4.3 調整后,瀏覽器顯示如下:
發現瀏覽器已經出現了小綠鎖,表示系統已經使用了 https 安全連接。
點擊小綠鎖,顯示如下:
瀏覽器一切正常,表明 https 證書配置成功。