[文章作者:张宴 本文版本:v1.0 最后修改:2009.11.14 转载请注明原文链接:http://blog.zyan.cc/startssl/]

  HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容请看SSL。

  它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。



  1、自行颁发不受浏览器信任的SSL证书:
  HTTPS的SSL证书可以自行颁发,Linux下的颁发步骤如下:
openssl genrsa -des3 -out api.bz.key 1024
openssl req -new -key api.bz.key -out api.bz.csr
openssl rsa -in api.bz.key -out api.bz_nopass.key

  点击在新窗口中浏览此图片

  Nginx.conf的SSL证书配置,使用api.bz_nopass.key,在启动Nginx是无需输入SSL证书密码,而使用api.bz.key则需要输入密码:
引用
server
{
   server_name sms.api.bz;
   listen  443;
   index index.html index.htm index.php;

   root  /data0/htdocs/api.bz;

   ssl on;
   ssl_certificate api.bz.crt;
   ssl_certificate_key api.bz_nopass.key;
   ......
}


  自行颁发的SSL证书虽然能够实现加密传输功能,但得不到浏览器的信任,会出现以下提示:
  点击在新窗口中浏览此图片



  2、受浏览器信任的StartSSL免费SSL证书:
  跟VeriSign一样,StartSSL(网址:http://www.startssl.com,公司名:StartCom)也是一家CA机构,它的根证书很久之前就被一些具有开源背景的浏览器支持(Firefox浏览器、谷歌Chrome浏览器、苹果Safari浏览器等)。

  在今年9月份,StartSSL竟然搞定了微软:微软在升级补丁中,更新了通过Windows根证书认证程序(Windows Root Certificate Program)的厂商清单,并首次将StartCom公司列入了该认证清单,这是微软首次将提供免费数字验证技术的厂商加入根证书认证列表中。现在,在Windows 7或安装了升级补丁的Windows Vista或Windows XP操作系统中,系统会完全信任由StartCom这类免费数字认证机构认证的数字证书,从而使StartSSL也得到了IE浏览器的支持。

  注册成为StartSSL(http://www.startssl.com)用户,并通过邮件验证后,就可以申请免费的可信任的SSL证书了。步骤比较复杂,就不详细介绍了,申请向导的主要步骤如下:
  点击在新窗口中浏览此图片


  点击在新窗口中浏览此图片


  点击在新窗口中浏览此图片



  3、使用案例:
  使用StartSSL免费SSL证书的HTTPS(SSL)网站示例:
  https://sms.api.bz

  点击在新窗口中浏览此图片

  点击在新窗口中浏览此图片



  4、小插曲:
  StartSSL虽然提供的是免费的SSL证书,但服务态度是非常不错的。之前StartSSL并不支持.bz结尾的域名,因为我有一个api.bz域名需要SSL证书,所以我发了份邮件给StartSSL的管理员,要求增加.bz域名,中间还因为.bz域名注册机构对whois查询有限制,出现了一些比较麻烦的问题,最终StartSSL通过修改程序,支持了.bz域名。

  点击在新窗口中浏览此图片

  点击在新窗口中浏览此图片

  点击在新窗口中浏览此图片


技术大类 » 其他Unix技术 | 评论(68) | 引用(0) | 阅读(156136)
Cat Homepage
2009-11-14 09:59
人品问题?我测试过了IE8的....火狐过不了.但有的人又过到..

没有提示不安全~~~
star Email Homepage
2009-11-14 10:03
是否需要独立IP绑定域名的?域名还是com的好呀。
Good job!love   可以转载吗?
mengshan
2009-11-14 10:08
我用jdk的keytool产生的key为什么在有些情况下,浏览器就没有下面的锁了,是不是表示表示连接不加密了.
iian
2009-11-14 10:25
firefox3.5.5 过不了
叶子 Homepage
2009-11-14 10:34
chrome下貌似不行
cnhawkorg Homepage
2009-11-14 11:23
刚刚测试,IE7.0.5730.13、Chrome3.0.195.25支持;Opera10.01、Firefox3.5.3不支持。不过应该会越来越多的浏览器支持的
sexla Email Homepage
2009-11-14 16:51
这个有点意思啊!
叶子 Homepage
2009-11-14 17:08
全面测试了下 safari没问题 ie8没问题 ff要自己加信任 opera提示 chrome3.0.195不行  太奇怪了不过我的站也加上了 免费的东西真。。。
djbdjb00djb
2009-11-14 19:12
是看到wsus服务器里面提示有个根证书更新,自动审核不通过,必须要手动审核才在客户端上生效的补丁原来是用在这里了。哈哈
Showfom
2009-11-15 01:40
IE8 和 Firefox 英文版可以通过 Firefox 中文版不可以通过的
hune
2009-11-15 16:15
刚试了下,chrome 3.0、IE 7通过。
最美别墅 Homepage
2009-11-15 17:45
有意思,又可以省钱了。一个Versign证书,一年要7000-8000元呢。
鱼尾唯一 Homepage
2009-11-19 15:51
此连接是不受信任的
您想使用 Firefox 来安全连接至 sms.api.bz,但是我们无法确认此连接为安全的。
通常,当您尝试安全连接时,站点会出示受信任的标识,以证明您访问的是正确的地址。然而,现在无法验证此网站的标识。  
怎么办?
如果您过去连接到此网站并且没有发现问题,那么此错误信息表示可能有人想冒充该网站,所以您应该停止浏览。

Firefox 3.5.5 for win32
Leslee Homepage
2009-11-21 18:26
FF3.5.3 过不了,还是有警告提示
..
2009-11-25 20:56
需要6小时审核?
ben Homepage
2009-11-26 12:50
好像不能申请二级域名的
shiny Homepage
2009-11-26 19:49
对于firefox3.5无法通过,根据官方的解答已经解决,在这里可以找到http://dev.meettea.com/show-52-1.html
测试就opera没有通过。
Jack Email
2009-12-12 18:56
这种证书只能算是和VeriSign/GlobalSign产品中的低端类,不提供SGC强制的功能,只能作为体验使用而已。
BIBAYA
2009-12-19 13:13
firefox3.5.6過不了
依據上面連結文章設定後過了
但網站是架給別人看
如果要別人去自己安裝憑證
那跟自己發SSL意思一樣無法取信於人
ISEE
2009-12-22 19:03
it could be understood
分页: 1/4 第一页 1 2 3 4 下页 最后页
发表评论
表情
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
打开HTML
打开UBB
打开表情
隐藏
记住我
昵称   密码   游客无需密码
网址   电邮   [注册]