我搞了三天禁荒,終于在我的服務(wù)器上搞定了HTTPS(IIS)

HTTPS是啥就沒得說了,基于SSL的HTTP
然后呢绵疲,如果要在服務(wù)器上啟用HTTPS,需要一個CA證書
CA證書分幾種:

域名型SSL證書(DV SSL):信任等級普通臣疑,只需驗證網(wǎng)站的真實性便可頒發(fā)證書保護網(wǎng)站盔憨; 
企業(yè)型SSL證書(OV SSL):信任等級強,須要驗證企業(yè)的身份讯沈,審核嚴格郁岩,安全性更高;
增強型SSL證書(EV SSL):信任等級最高缺狠,一般用于銀行證券等金融機構(gòu)问慎,審核嚴格,安全性最高挤茄,同時可以激活綠色網(wǎng)址欄如叼。
作者:李是個好人
鏈接:https://www.zhihu.com/question/19578422/answer/114210307
來源:知乎
著作權(quán)歸作者所有,轉(zhuǎn)載請聯(lián)系作者獲得授權(quán)穷劈。

所以咱一般搞一個DV的就行
本來打算做一個自己簽名的證書笼恰,畢竟主要是為了加密
但是自己簽名的證書瀏覽器不認,提示證書不安全啥的(不要客戶端導(dǎo)入證書到信任才可以)歇终,加上ios訪問的時候會提示不被信任社证,不能訪問,所以放棄了

環(huán)境:我們是給客戶的服務(wù)器安裝證書练湿,客戶那邊是一個二級域名被定向到我們的一臺內(nèi)網(wǎng)服務(wù)器猴仑,服務(wù)器是Windows Server2008 IIS7+

記錄--這里是簽一個受信的域名證書

  1. 找一個SSL證書頒發(fā)機構(gòu)审轮,我找的是StartSSL
  2. 在網(wǎng)站上驗證對域名的所有權(quán)肥哎,這個我嘗試了兩個機構(gòu)的驗證方式辽俗,都是使用WhoIs查詢當前域名的注冊信息,通過郵箱來驗證的篡诽,這個如果是自己的網(wǎng)站崖飘,一般聯(lián)系人是自己,直接接受驗證碼就好杈女,我們是找客戶要的聯(lián)系郵箱接收的驗證碼朱浴。我還試了一下GEOTrust,這個好像是可以通過在網(wǎng)站上放一個文件达椰,文件名是MD5翰蠢,內(nèi)容是SHA1,這個在提交信息之后會給你啰劲,能通過你提交的域名訪問到就可以認證梁沧,但是這個免費的只有90天,所以我就沒繼續(xù)了蝇裤。
  3. StartSSL的話廷支,提交驗證碼之后就可以生成一個免費的證書,可以用三年栓辜,然后將就可以把證書下載下來恋拍,導(dǎo)入到iis就可以了(當然這里的證書IIS是不認的,可以跳過下面這一段藕甩,直接看最后)

當然真做起來當然是沒有這么簡單了施敢,對需要受信證書的同學(xué)來說,以下這一段是廢話辛萍,可以跳過悯姊。。贩毕。
我一開始的時候是想弄一個自簽名的證書悯许,所以搜索了好久,網(wǎng)上也看到了好多的教程辉阶,最終找到了一個OpenSSL證書生成(Windows環(huán)境)先壕,本來以為就水到渠成了,照著做一遍就ok谆甜,但是現(xiàn)實打了臉垃僚,首先這東西需要用到OpenSSL,我機器上沒有规辱,然后還要用Perl谆棺,我試了一下,安裝了Perl罕袋,也下載了OpenSSL改淑,然后發(fā)現(xiàn)這東西需要現(xiàn)編譯才能用碍岔,我要崩潰了,朵夏,蔼啦,但是!感謝互聯(lián)網(wǎng)仰猖,我又找到了教程Win32下VC編譯OpenSSl捏肢,好吧,按照教程來一遍饥侵,應(yīng)該就可以了吧鸵赫。。躏升。然后發(fā)現(xiàn)奉瘤,他用的是VC命令行編譯,恩煮甥,我連VC開發(fā)環(huán)境都沒有盗温,我機器上裝了(或者裝過)VS2012,VS2013,VS2015,所以我以為VC是小意思成肘,結(jié)果卖局。。双霍。恩砚偶,你們知道了,不好使……感謝廖雪峰大佬的教程洒闸,我找了半天染坯,終于找到了這個,直接來了一個shell腳本丘逸,恩单鹿,Linux的……所以,我又稍微的失望了一下深纲,接下來用實驗樓的這個功能仲锄,可以用一個在線的Linux環(huán)境,將剛剛廖雪峰教程里頭的腳本粘貼到Linux環(huán)境下湃鹊,修改執(zhí)行權(quán)限儒喊,直接執(zhí)行就可以生成一個自簽名的證書。我以為到這里我的行程就改結(jié)束了币呵。怀愧。。但是還沒有。芯义。肛搬。拿到了crt文件,然后發(fā)現(xiàn)iis無法導(dǎo)入毕贼,說這個缺少key,好吧好吧蛤奢,然后我又找到了這個文章SSL證書轉(zhuǎn)換鬼癣。至此,我已經(jīng)搞定了所有需要做的事情啤贩。得到一份腳本:
#!/bin/sh

# create self-signed server certificate:

read -p "Enter your domain [www.example.com]:" DOMAIN

echo "Create Server Key..."

openssl genrsa -des3 -out $DOMAIN.key 1024

echo "Create server certificate signing request..."

SUBJECT="/C=US/ST=Mars/L=iTranswarp/O=iTranswarp/OU=iTranswarp/CN=$DOMAIN"

openssl req -sha256 -new -subj $SUBJECT -key $DOMAIN.key -out $DOMAIN.csr

echo "Remove password..."

mv $DOMAIN.key $DOMAIN.origin.key
openssl rsa -in $DOMAIN.origin.key -out $DOMAIN.key

echo "Sign SSL certificate..."

openssl x509  -sha256 -req -days 3650 -in $DOMAIN.csr -signkey $DOMAIN.key -out $DOMAIN.crt

openssl pkcs12 -export -out $DOMAIN.pfx -inkey $DOMAIN.key -in $DOMAIN.crt

echo "Done"

以上待秃,執(zhí)行一遍,輸入六次密碼就可以生成一個自簽名的CA證書.pfx文件(IIS就認這個)痹屹,注意這個密碼不要忘記了章郁,導(dǎo)入的時候要用(按理說前面的跟后面的可以不一樣,因為中間有一步是刪除密碼志衍,但是都輸入同一個密碼肯定不會出錯就是了)暖庄。

接到廢話之前的內(nèi)容,從StartSSL上申請到證書以后楼肪,下載的文件是crt文件培廓,這個IIS是不認的,所以我們需要把crt文件和key文件合并起來春叫,如果需要知道詳細內(nèi)容肩钠,請參考廢話內(nèi)容
反正我最后得到這樣一份腳本
#!/bin/sh

# create self-signed server certificate:

read -p "Enter your domain [www.example.com]:" DOMAIN

echo "Create Server Key..."

openssl genrsa -des3 -out $DOMAIN.key 1024

echo "Create server certificate signing request..."

SUBJECT="/C=US/ST=Mars/L=iTranswarp/O=iTranswarp/OU=iTranswarp/CN=$DOMAIN"

openssl req -sha256 -new -subj $SUBJECT -key $DOMAIN.key -out $DOMAIN.csr

echo "Done"

輸入一個域名,輸幾次密碼暂殖,就可以生成.key文件和.csr文件价匠,這個文件內(nèi)容可以粘貼到StartSSL的申請里面,然后我們就有了一個key文件和一個受信任的.crt證書呛每,現(xiàn)在踩窖,參考廢話里面的腳本,將這兩個文件放在一起晨横,執(zhí)行最后一句

openssl pkcs12 -export -out [DOMAIN].pfx -inkey [DOMAIN].key -in [DOMAIN].crt

[DOMAIN]需要替換成你的文件名毙石,然后就得到了一個受信任的.pfx文件,這下真的可以導(dǎo)入到IIS中了

最后颓遏,實驗樓是不允許上傳文件的徐矩,所以如果是自簽名的證書,直接用它就可以叁幢,如果不是自簽名的滤灯,不好意思,我最后是被逼的沒辦法,只好裝了一個Ubuntu(據(jù)說OpenSSL一般發(fā)行版Linux都會裝鳞骤,經(jīng)過我的實驗窒百,Ubuntu是裝了的),如果你能搞定Windows環(huán)境下安裝編譯OpenSSL豫尽,可以來教一下我篙梢。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個濱河市美旧,隨后出現(xiàn)的幾起案子渤滞,更是在濱河造成了極大的恐慌,老刑警劉巖榴嗅,帶你破解...
    沈念sama閱讀 212,542評論 6 493
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件妄呕,死亡現(xiàn)場離奇詭異,居然都是意外死亡嗽测,警方通過查閱死者的電腦和手機绪励,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,596評論 3 385
  • 文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來唠粥,“玉大人疏魏,你說我怎么就攤上這事∥罾ⅲ” “怎么了蠢护?”我有些...
    開封第一講書人閱讀 158,021評論 0 348
  • 文/不壞的土叔 我叫張陵,是天一觀的道長养涮。 經(jīng)常有香客問我葵硕,道長,這世上最難降的妖魔是什么贯吓? 我笑而不...
    開封第一講書人閱讀 56,682評論 1 284
  • 正文 為了忘掉前任懈凹,我火速辦了婚禮,結(jié)果婚禮上悄谐,老公的妹妹穿的比我還像新娘介评。我一直安慰自己,他們只是感情好爬舰,可當我...
    茶點故事閱讀 65,792評論 6 386
  • 文/花漫 我一把揭開白布们陆。 她就那樣靜靜地躺著,像睡著了一般情屹。 火紅的嫁衣襯著肌膚如雪坪仇。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 49,985評論 1 291
  • 那天垃你,我揣著相機與錄音椅文,去河邊找鬼喂很。 笑死,一個胖子當著我的面吹牛皆刺,可吹牛的內(nèi)容都是我干的少辣。 我是一名探鬼主播,決...
    沈念sama閱讀 39,107評論 3 410
  • 文/蒼蘭香墨 我猛地睜開眼羡蛾,長吁一口氣:“原來是場噩夢啊……” “哼漓帅!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起痴怨,我...
    開封第一講書人閱讀 37,845評論 0 268
  • 序言:老撾萬榮一對情侶失蹤忙干,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后腿箩,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 44,299評論 1 303
  • 正文 獨居荒郊野嶺守林人離奇死亡劣摇,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,612評論 2 327
  • 正文 我和宋清朗相戀三年珠移,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片末融。...
    茶點故事閱讀 38,747評論 1 341
  • 序言:一個原本活蹦亂跳的男人離奇死亡钧惧,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出勾习,到底是詐尸還是另有隱情浓瞪,我是刑警寧澤,帶...
    沈念sama閱讀 34,441評論 4 333
  • 正文 年R本政府宣布巧婶,位于F島的核電站乾颁,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏艺栈。R本人自食惡果不足惜英岭,卻給世界環(huán)境...
    茶點故事閱讀 40,072評論 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望湿右。 院中可真熱鬧诅妹,春花似錦、人聲如沸毅人。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,828評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽丈莺。三九已至划煮,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間缔俄,已是汗流浹背般此。 一陣腳步聲響...
    開封第一講書人閱讀 32,069評論 1 267
  • 我被黑心中介騙來泰國打工蚪战, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人铐懊。 一個月前我還...
    沈念sama閱讀 46,545評論 2 362
  • 正文 我出身青樓邀桑,卻偏偏與公主長得像,于是被迫代替她去往敵國和親科乎。 傳聞我的和親對象是個殘疾皇子壁畸,可洞房花燭夜當晚...
    茶點故事閱讀 43,658評論 2 350

推薦閱讀更多精彩內(nèi)容