一、前言
我們在上一篇中,部署了 LAMP Web 服務器環境。但由於 默認 HTTP 協議鏈接中存在諸多不足,所以我們這一篇實現 HTTPS 連接。
二、部署 HTTPS 的兩種方式
1. 使用第三方 CA
這里我們以阿里雲 SSL 為例:樹莓派/Debian Apache2 安裝騰訊雲 SSL 證書 。
2. 使用自建 CA
這里以 Debian 虛擬機為例:樹莓派/Debian Apache2 配置自建 CA 實現 HTTPS(SSL) 服務 。
三、自建CA與采購第三方CA證書的比較
1. 節省費用
使用第三方CA證書的費用是企業證書每年每張證書200元,個人證書每年每張證書10元。自建CA的建設費用包括全部軟硬件、工程費用等不超過300萬元。可以計算,當企業證書數量達到2萬時,自建CA累計費用低於使用第三方CA證書。
2. 關於登錄、交易速度
在登陸系統和進行交易的過程中,服務器都要查驗證書的作廢凍結情況。自建CA所具有的一個比較優勢是所有的服務器系統都在銀行內部,相互之間的通信是局域網,因此驗證CRL等操作在內部網上進行,其速度可以得到保證,因此交易速度和可靠性都能得到保證。
而使用第三方證書,則交易中需要和第三方CA證書系統進行廣域網上的遠程通信,其網絡情況對系統運行有極大影響,因此其登陸速度、交易速度和可靠性都會遠遠低於通過本地局域網通信的自建CA系統。
3. 作為基礎安全平台,支持其他應用
銀行自建CA在為網上銀行等應用服務的同時,可以成為銀行內部的身份認證機構,為內部信息傳輸的安全加密和身份認證提供安全平台。
如果要實現同樣的內部安全系統而使用第三方證書運營機構提供的證書,則可能出現以下方面的問題:
- 費用過高
- 系統不易集成
- 證書安全策略缺乏靈活性。
4. 證書安全策略
證書安全策略指的是認證中心對證書的用途、使用方法等方面進行的規定。比如,證書的一些屬性可以規定該證書是否可用於電子郵件,是否可用於轉帳支付,是否可用於內部管理等等。還包括證書的有效期的定義,比如證書的有效期是1年還是2年甚至5年。這些證書屬性的定義,一般都要和使用證書的具體業務聯系起來,才能更好的讓證書服務於應用。
自建CA的安全策略可自己定義,可以根據自己的要求進行定義,這就給新開發業務系統帶來很大的方便,比如業務中的一些特性可以在證書中規定;另外還可以比較方便的擴充證書的用途,比如很容易地將交易用證書和內部管理證書區分。
第三方證書是面向社會的,其證書安全策略不能隨便修改,因此很難為某個銀行提供個性化的證書安全策略。這在應用系統和安全系統的結合方面可能會帶來一些不便。