簡單來說,HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議,所以HTTPS網站搭建中比較重要的內容都是圍繞著SSL證書進行的。
那我們應該做什麼准備工作,如下圖:
網站選型:HTTPS會提升網站安全性,同樣也拉高技術成本,所以我們建議一些涉及到用戶隱私信息的網站進行HTTPS建設,公開性的內容是根據網站自身情況進行選擇;
證書申請:
①CSR文件制作:申請SSL證書之前,需要制作CSR文件,CSR,Certificate Signing Request,是制作SSL 證書的必要步驟。一個 CSR 文件中描述了 SSL 證書持有人的信息(如個人姓名或公司名稱)、聯系地址等,用於驗證 SSL 證書和域名是同一個人持有,以確保網站的合法性。制作完成後向 SSL 證書提供商上傳這個文件,以獲得最終的 SSL 證書。
在申請服務器證書時,不要出現某些特殊字符,否則在您提交CSR後,會出現"105"的錯誤代碼。這個錯誤是由於在您生成CSR時,輸入的信息中包含一些特殊字符,如:(@,#,&,!,等等,例如:您可以將"&"用"and"代替)。
在您生成CSR時,公用名(Common Name)是必須填寫的,但許多客戶填寫這一項時,經常填錯或不符合標准。
公用名(Common Name) 是您的主機名+域名,比如:www.willrey.com維瑞的服務器證書是頒發給某一台主機的,而不是一個域,您的公用名(Common Name)必須與您要使用服務器證書的主機的全名完全相同,因為www.domain.com與domain.com是不同的。
要生成CSR文件,你必須為服務器創建一對密鑰對。密鑰對和證書是不可分開的,一旦您遺失了公鑰、私鑰或密碼,重新生成密鑰對後,和原來的證書就不匹配了。如果您申請的是全球信SSL證書,可以重新提交CSR免費重發證書;如果您申請的是閃快SSL證書,就必須重新付費申請證書。
②CA認證證書申請:將CSR提交給CA,CA一般有2種認證方式:
1)域名認證:一般通過對管理員郵箱認證的方式,這種方式認證速度快,但是簽發的證書中沒有企業的名稱; 2)企業文檔認證:需要提供企業的營業執照。 也有需要同時認證以上2種方式的證書,叫EV ssl證書,這種證書可以使IE7以上的浏覽器地址欄變成綠色,所以認證也最嚴格。
③證書安裝:
在收到CA的證書後,可以將證書部署上服務器,一般APACHE文件直接將KEY+CER復制到文件上,然後修改httpD.CONF文件;TOMCAT等,需要將CA簽發的證書CER文件導入JKS文件後,復制上服務器,然後修改SERVER.XML;IIS需要處理掛起的請求,將CER文件導入。
鑒於對建站成本的考慮,需要高級別ssl 證書的往往是大中型網站,如網上銀行、購物網站、金融證券、政府機構等,諸如個人博客之類的小型站點完全可以先嘗試免費ssl證書。
服務器選購:
考慮到CSR和SSL證書與服務器的環境配置及功能支持有必不可分的聯系,建議在再選購服務器之前做好充分的考慮。尤其是對服務器是否支持SSL功能,是否與證書匹配等功能需要重視;
網站開發:
由於網站功能與開發語言各不相同,在這就不詳細說明網站開發的准備工作了,HTTPS網站與HTTP網站在開發期間基本是一致的,只是使用協議不同。