隨著網(wǎng)絡(luò)的發(fā)展�����,網(wǎng)絡(luò)安全也越來越重要��,對于網(wǎng)站來說���,從Http升級到https也是我們要做的首要事情��。要實現(xiàn)https�,首先我們需要申請一張SSL證書,這篇文章我主要介紹下邊這幾個方面:
1. SSL簡單介紹
2. 免費Letencrypt證書部署
3. 安裝注意事項
一.SSL簡單介紹
ssl作為一個網(wǎng)絡(luò)加密協(xié)議����,主要是存在于系統(tǒng)中應(yīng)用層和傳輸層之間的一個安全套接字層(Secure Socket Layer)�,也就是位于TCP/IP協(xié)議和各個應(yīng)用層協(xié)議之間��,為應(yīng)用數(shù)據(jù)傳輸提供加密的協(xié)議����。當然它內(nèi)部又分記錄協(xié)議和握手協(xié)議兩個部分�,這里如果有興趣的可以去詳細了解一下,我先簡單介紹一下流程性的東西�。
它的工作流程大概可以理解為這樣����,客戶端發(fā)起網(wǎng)絡(luò)請求給服務(wù)端��,發(fā)起握手����,交換證書信息���,建立連接��。簡單來說分為下邊幾部:
客戶端:發(fā)送其支持的ssl版本和加密方式給服務(wù)端�。
服務(wù)端:選擇加密方式并發(fā)送證書和公鑰給客戶端
客戶端:驗證證書信息��,并通過公鑰生成共享秘鑰����,交換
服務(wù)端:好��,咱們可以傳遞加密數(shù)據(jù)了
以上是簡單的描述了握手的過程,每一步都可以繼續(xù)分解,可以自行查找相關(guān)文檔深入了解�。
這里需要介紹的另外一個協(xié)議TLS�,這個協(xié)議建立在SSL3.0規(guī)范之上�,更加嚴格明確。其中它又有一個擴展協(xié)議叫做 SNI(Server Name Indication-服務(wù)器名稱指示),這里介紹下它的主要作用���。
在我們常用的主機中,可能會有很多站點,我們并不能夠一次性提前獲知將使用此服務(wù)器的所有域名列表���,但是我們不能每次修改域名重新頒發(fā)一次證書,所以有了SNI,讓我們可以在一臺主機上能夠部署多個證書, 使得服務(wù)器可以在握手階段選擇正確虛擬域,并發(fā)送對應(yīng)證書�。在IIS8.0以上版本中����,我們綁定域名時會有如下的選項:
當前有很多免費和收費 ssl的證書提供商可以供我們選擇���,當然我們也可以自己作為頒發(fā)主體��,制作ssl證書����,不過像谷歌等瀏覽器對于不受信任的證書機構(gòu)在頁面上會給提示存在安全風(fēng)險�,阻止訪問,這對用戶體驗來說是非常糟糕的。根據(jù)安全等級�,當前ssl證書根據(jù)主要有以下幾類:
EV - 業(yè)界頂級SSL證書���,部署了EV SSL證書的網(wǎng)站����,地址欄會變成醒目的綠色�����,并且顯示網(wǎng)站所屬企業(yè)名稱
OV - 使用較為廣泛的企業(yè)驗證型SSL證書,部署了OV SSL證書之后���,地址欄會有安全鎖標識顯示
DV - 只驗證域名,快速簽發(fā)的SSL證書����。也會在地址欄顯示安全鎖標識����,但證書詳情里面不顯示O字段,不顯示使用者名稱�,只顯示域名
當前受到主流瀏覽器承認的很多SSL證書機構(gòu)頒發(fā)的免費證書主要也都是DV等級���。下面我介紹一下最近比較知名的 Letencrypt 免費ssl證書在windows下的部署過程�。
二. 免費Letencrypt證書部署
這個是由國外發(fā)起的一個免費的ssl項目��,現(xiàn)在已經(jīng)得到了谷歌等主流瀏覽器的認可��。從安全角度考慮,通過Letencrypt安裝的免費證書只有三個月的有效期,到期之需要重新申請�����,但是這也給部署造成了一定的麻煩���,所以官方也提供了各種自動化的解決方案����,這里我介紹的是windows下的證書申請和自動更新工具 letsencrypt-win-simple。
首先我們下載 GitHub地址(https://github.com/Lone-Coder/letsencrypt-win-simple/releases) 并解壓
因為安裝過程需要在站點下生成驗證文件,所以請以管理員模式進入cmd界面���,也可以右鍵開始菜單 點擊 命令提示符(管理員)選項
進入解壓文件夾,運行 letsencrypt.exe --san 命令
執(zhí)行完之后會自動將IIS下的所有網(wǎng)站列出來,后邊會有如下幾個選項:
這幾個選項分別對應(yīng)不同的情況,這里因為我的機器下有好幾個站點�,我想給他們統(tǒng)一頒發(fā)一個證書���,我選擇S,之后它會提示你輸入要安裝的站點序號��,這里我輸入 3,4
接下來它會在每個站點下創(chuàng)建一個里驗證文件��,驗證通過之后就會生成對應(yīng)證書添加到IIS中�,如果一切正常的情況下會在任務(wù)管理中創(chuàng)建一個定時更新任務(wù)���。
當前這個軟件還存在一些bug���,我個人在安裝中也遇到了幾個異常終止的錯誤���,重復(fù)操作兩次才正常通過�����,如果你也遇到問題���,可以直接去IIS下證書管理�,查看是否已經(jīng)創(chuàng)建了對應(yīng)的證書����,如果存在可以手動綁定。
三. 注意事項
使用Letencrypt時有一定的次數(shù)限制����,以防止申請的濫用�,這里是 官方網(wǎng)站 給出的限制信息:
If you have a lot of subdomains, you may want to combine them into a single certificate, up to a limit of 100 Names per Certificate. Combined with the above limit, that means you can issue certificates containing up to 2,000 unique subdomains per week. A certificate with multiple names is often called a SAN certificate, or sometimes a UCC certificate.
We also have a Duplicate Certificate limit of 5 certificates per week. A certificate is considered a duplicate of an earlier certificate if they contain the exact same set of hostnames, ignoring capitalization and ordering of hostnames. For instance, if you requested a certificate for the names [www.example.com, example.com], you could request four more certificates for [www.example.com, example.com] during the week. If you changed the set of names by adding [blog.example.com], you would be able to request additional certificates.
如果你需要測試�����,可以在命令行中執(zhí)行:letsencrypt.exe --test ����。進入測試環(huán)境���。
