SSL证书申请与ssl证书部署方法

越来越多的企业或者个人开始认识到网络安全性的重要性，https网络传输过程的优势也越来越突显：提升网站的安全等级，获取客户端对网站的信任度。SSL证书越来越被大众所推崇。对于刚接触的新用户来说，可能还不清楚为什么需要申请ssl证书?怎么申请购买证书?

1. 为什么需要申请SSL证书呢?

HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议， 在目前的技术背景下，HTTPS是现行架构下最安全的。防止网站被篡改，非法跳转，防止网站被灌入广告，防止数据在传输过程中不被窃取、改变，确保数据的完整性等。从SEO的角度出发，无论是Google还是百度都展示出了对HTTPS的青睐，百度官方表示https的网站更有安全性，在排序上会有倾斜，收录速度更快。所以申请ssl证书是必要的。

2.怎么申请SSL证书呢?或者 https证书呢。

SSL证书基本上都是国外品牌，如：geotrust 赛门铁克 comodo等，国内服务商只是作为代理。步骤三步走：

1) CSR文件制作：申请SSL证书之前，需要制作CSR文件，CSR，是制作SSL 证书的必要步骤。一个 CSR 文件中描述了 SSL 证书持有人的信息(如个人姓名或公司名称)、联系地址等，用于验证 SSL 证书和域名是同一个人持有，以确保网站的合法性。制作完成后向 SSL 证书提供商上传这个文件，以获得最终的 SSL 证书。

注意事项

在申请服务器证书时，不要出现某些特殊字符如：(@,#,&,!,等等，例如：您可以将"&"用"and"代替)。否则在您提交CSR后，会出现"105"的错误代码。

2)CA认证证书申请：将制作好的CSR提交给CA，CA一般有2种认证方式：

1)域名认证：一般通过对管理员邮箱认证的方式，这种方式认证速度快，但是签发的证书中没有企业的名称;

2)企业文档认证：需要提供企业的营业执照。

也有需要同时认证以上2种方式的证书，例如EV ssl证书，这种证书可以使浏览器的绿色地址栏上直接显示企业信息，所以认证也最严格。

3)证书安装：

在收到CA的证书后，就可以将证书部署到服务器上了。

Apache 部署 SSL 证书

a. 查看apache是否开启ssl

打开 apache安装目录/conf/httpd.conf 文件,找到 里面两行

#LoadModule ssl_module modules/mod_ssl.so

将行首的#去掉,保存文件

执行命令: apache安装目录/bin/httpd -M | grep ssl_module , 出现图下结果说明apache已经支持ssl, 否则请先开启apache的ssl模块

b. 配置证书到对应的站点

编辑站点对应的站点配置文件,如:apache安装目录/conf/extra/httpd-ssl.conf, 修改内容如下

DocumentRoot "/var/www/html"

ServerName www.domain.com

SSLEngine on

SSLCertificateFile 证书文件路径/_www.domain.com.cer

SSLCertificateKeyFile 证书文件路径/_www.domain.com.key

SSLCertificateChainFile 证书文件路径/_www.domain.com_ca.crt

c. 重启apache生效

TOMCAT部署SSL证书

a.需要将CA签发的证书CER文件导入www.domain.com.jks文件后放到conf目录下，复制上服务器，然后配置同目录下的server.xml文件

port="443"

protocol="HTTP/1.1"

SSLEnabled="true"

maxThreads="150"

scheme="https"

secure="true"

keystoreFile="conf\www.domain.com.jks"

keystorePass="changeit"

clientAuth="false" sslProtocol="TLS"

/>

说明

clientAuth如果设为true，表示Tomcat要求所有的SSL客户出示安全证书，对SSL客户进行身份验证

keystoreFile指定keystore文件的存放位置，可以指定绝对路径，也可以指定相对于 (Tomcat安装目录)环境变量的相对路径。如果此项没有设定，默认情况下，Tomcat将从当前操作系统用户的用户目录下读取名为 “.keystore”的文件。

keystorePass密钥库密码，指定keystore的密码。(如果申请证书时有填写私钥密码，密钥库密码即私钥密码)

sslProtocol指定套接字(Socket)使用的加密/解密协议，默认值为TLS

b. http自动跳转https的安全配置

到conf目录下的web.xml。在后面，，也就是倒数第二段里，加上这样一段

SSL /* CONFIDENTIAL

这步目的是让非ssl的connector跳转到ssl的connector去。所以还需要前往server.xml进行配置：

redirectPort改成ssl的connector的端口443，重启后便会生效。

IIS 部署 SSL 证书

IIS最为简单，只需要处理挂起的请求，将CER文件导入，然后网站绑定即可。

如果在申请或者部署证书环节，您有任何问题，可以去ssl证书频道(https://www.bisend.cn/ssl-certificate)通过专家团队寻求帮助与支持。