簡單來說,HTTPS協議是由SSL+HTTP協議構建的可進(jìn)行加密傳輸、身份認證的網絡協議,所以HTTPS網站搭建中比較重要的内容都(dōu)是圍繞著(zhe)SSL證書進(jìn)行的。
網站選型:HTTPS會提升網站安全性,同樣(yàng)也拉高技術成(chéng)本,所以我們建議一些涉及到用戶隐私信息的網站進(jìn)行HTTPS建設,公開(kāi)性的内容是根據網站自身情況進(jìn)行選擇;
證書申請:
①CSR文件制作:申請SSL證書之前,需要制作CSR文件,CSR,Certificate Signing Request,是制作SSL 證書的必要步驟。一個 CSR 文件中描述了 SSL 證書持有人的信息(如個人姓名或公司名稱)、聯系地址等,用于驗證 SSL 證書和域名是同一個人持有,以确保網站的合法性。制作完成(chéng)後(hòu)向(xiàng) SSL 證書提供商上傳這(zhè)個文件,以獲得 SSL 證書。
在申請服務器證書時,不要出現某些特殊字符,否則在您提交CSR後(hòu),會出現"105"的錯誤代碼。這(zhè)個錯誤是由于在您生成(chéng)CSR時,輸入的信息中包含一些特殊字符,如:(@,#,&,!,等等,例如:您可以將(jiāng)"&"用"and"代替)。
在您生成(chéng)CSR時,公用名(Common Name)是必須填寫的,但許多客戶填寫這(zhè)一項時,經(jīng)常填錯或不符合标準。
公用名(Common Name) 是您的主機名+域名,比如:服務器證書是頒發(fā)給某一台主機的,而不是一個域,您的公用名(Common Name)必須與您要使用服務器證書的主機的全名完全相同,因爲www.gywzjs.com與gywzjs.com是不同的。
要生成(chéng)CSR文件,你必須爲服務器創建一對(duì)密鑰對(duì)。密鑰對(duì)和證書是不可分開(kāi)的,一旦您遺失了公鑰、私鑰或密碼,重新生成(chéng)密鑰對(duì)後(hòu),和原來的證書就不匹配了。如果您申請的是全球信SSL證書,可以重新提交CSR免費重發(fā)證書;如果您申請的是閃快SSL證書,就必須重新付費申請證書。
②CA認證證書申請:將(jiāng)CSR提交給CA,CA一般有2種(zhǒng)認證方式:
1)域名認證:一般通過(guò)對(duì)管理員郵箱認證的方式,這(zhè)種(zhǒng)方式認證速度快,但是簽發(fā)的證書中沒(méi)有企業的名稱; 2)企業文檔認證:需要提供企業的營業執照。 也有需要同時認證以上2種(zhǒng)方式的證書,叫(jiào)EV ssl證書,這(zhè)種(zhǒng)證書可以使IE7以上的浏覽器地址欄變成(chéng)綠色,所以認證也嚴格。
③證書安裝:
在收到CA的證書後(hòu),可以將(jiāng)證書部署上服務器,一般APACHE文件直接將(jiāng)KEY+CER複制到文件上,然後(hòu)修改httpD.CONF文件;TOMCAT等,需要將(jiāng)CA簽發(fā)的證書CER文件導入JKS文件後(hòu),複制上服務器,然後(hòu)修改SERVER.XML;IIS需要處理挂起(qǐ)的請求,將(jiāng)CER文件導入。
鑒于對(duì)建站成(chéng)本的考慮,需要高級别ssl 證書的往往是大中型網站,如網上銀行、購物網站、金融證券、政府機構等,諸如個人博客之類的小型站點完全可以先嘗試免費ssl證書。
服務器選購:
考慮到CSR和SSL證書與服務器的環境配置及功能(néng)支持有必不可分的聯系,建議在再選購服務器之前做好(hǎo)充分的考慮。尤其是對(duì)服務器是否支持SSL功能(néng),是否與證書匹配等功能(néng)需要重視;
網站開(kāi)發(fā):
由于網站功能(néng)與開(kāi)發(fā)語言各不相同,在這(zhè)就不詳細說明網站開(kāi)發(fā)的準備工作了,HTTPS網站與HTTP網站在開(kāi)發(fā)期間基本是一緻的,隻是使用協議不同。