[文章作者:张宴 本文版本:v1.0 最后修改:2009.11.14 转载请注明原文链接:http://blog.zyan.cc/startssl/]

  HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容请看SSL。

  它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。



  1、自行颁发不受浏览器信任的SSL证书:
  HTTPS的SSL证书可以自行颁发,Linux下的颁发步骤如下:
openssl genrsa -des3 -out api.bz.key 1024
openssl req -new -key api.bz.key -out api.bz.csr
openssl rsa -in api.bz.key -out api.bz_nopass.key

  点击在新窗口中浏览此图片

  Nginx.conf的SSL证书配置,使用api.bz_nopass.key,在启动Nginx是无需输入SSL证书密码,而使用api.bz.key则需要输入密码:
引用
server
{
   server_name sms.api.bz;
   listen  443;
   index index.html index.htm index.php;

   root  /data0/htdocs/api.bz;

   ssl on;
   ssl_certificate api.bz.crt;
   ssl_certificate_key api.bz_nopass.key;
   ......
}


  自行颁发的SSL证书虽然能够实现加密传输功能,但得不到浏览器的信任,会出现以下提示:
  点击在新窗口中浏览此图片



  2、受浏览器信任的StartSSL免费SSL证书:
  跟VeriSign一样,StartSSL(网址:http://www.startssl.com,公司名:StartCom)也是一家CA机构,它的根证书很久之前就被一些具有开源背景的浏览器支持(Firefox浏览器、谷歌Chrome浏览器、苹果Safari浏览器等)。

  在今年9月份,StartSSL竟然搞定了微软:微软在升级补丁中,更新了通过Windows根证书认证程序(Windows Root Certificate Program)的厂商清单,并首次将StartCom公司列入了该认证清单,这是微软首次将提供免费数字验证技术的厂商加入根证书认证列表中。现在,在Windows 7或安装了升级补丁的Windows Vista或Windows XP操作系统中,系统会完全信任由StartCom这类免费数字认证机构认证的数字证书,从而使StartSSL也得到了IE浏览器的支持。

  注册成为StartSSL(http://www.startssl.com)用户,并通过邮件验证后,就可以申请免费的可信任的SSL证书了。步骤比较复杂,就不详细介绍了,申请向导的主要步骤如下:
  点击在新窗口中浏览此图片


  点击在新窗口中浏览此图片


  点击在新窗口中浏览此图片



  3、使用案例:
  使用StartSSL免费SSL证书的HTTPS(SSL)网站示例:
  https://sms.api.bz

  点击在新窗口中浏览此图片

  点击在新窗口中浏览此图片



  4、小插曲:
  StartSSL虽然提供的是免费的SSL证书,但服务态度是非常不错的。之前StartSSL并不支持.bz结尾的域名,因为我有一个api.bz域名需要SSL证书,所以我发了份邮件给StartSSL的管理员,要求增加.bz域名,中间还因为.bz域名注册机构对whois查询有限制,出现了一些比较麻烦的问题,最终StartSSL通过修改程序,支持了.bz域名。

  点击在新窗口中浏览此图片

  点击在新窗口中浏览此图片

  点击在新窗口中浏览此图片





技术大类 » 其他Unix技术 | 评论(76) | 引用(0) | 阅读(215560)
PaoMian
2009-12-30 14:08
ff 3.5.6 我这里看是不信任的证书

sms.api.bz 使用了无效的安全证书。

该证书因为其发行者证书未知而不被信任。

(错误码: sec_error_unknown_issuer)
zhurry Email Homepage
2010-1-10 21:49
shy很受用。收藏之。
alpha2beta Homepage
2010-1-15 21:23
我的IE7.0.5730.13怎么还是说证书不被信任呢?
DOWELL
2010-1-20 18:59
被你抢先了,我也早写了一个教程;  你很棒!!!
rootsub Email
2010-3-10 10:15
apapche  错误  Init: SSLPassPhraseDialog builtin is not supported on Win32 (key file D:/Apache/conf/ssl.key) 这个怎么解决。
joyssh Homepage
2010-4-16 17:29
火狐可以过。我在官方找到办法了。
绝世好建
2010-5-12 22:01
我试了一下好像FF,IE8,chrome都过了https://www.oubor.com
赵冬冬 Email Homepage
2010-5-17 18:50
I can not understand it
新乡家教网 Email Homepage
2010-5-17 18:56
哈哈 我的新乡家教网http://www.373jj.com 什么时候也高一个
白枫 Homepage
2010-5-23 12:01
Firefox 3.6.3仍然过不了 ,不知道firefox的团队是怎么想的
crny
2010-5-30 15:22
请问谁用StartSSL用IIS架起来的呢?IIS6,请教下谁会?
shiny Homepage
2010-6-8 11:11
RT @BIBAYA firefox3.5.6 過不了
依據上面連結文章設定後過了
但網站是架給別人看
如果要別人去自己安裝憑證
那跟自己發SSL意思一樣無法取信於人

//是服务器设定而不是客户端设定,保证证书链完整即可正确识别。
不死鸟
2010-6-13 17:37
貌似只能使用一年
aa
2010-6-18 15:13
好像 不能加上二级域名
openyum
2010-6-28 19:29
看看这里
上面是:#openssl req -new -key api.bz.key -out api.bz.csr
配置文件里面是:ssl_certificate api.bz.crt;
我实在想不通!并且StartSSL的证书二级域名访问,直接不能访问!
youke
2010-7-15 18:22
找不到如何注册,方法在详细些。如何注册用户。
zdx
2010-8-9 14:25
http://www.cacert.org/ 这个也免费
zdx
2010-8-9 15:39
CAcert 网络托拉斯规则

十分重要的是,CAcert 证人必须理解并遵循以下规则,保证以恰当的方式识别认证申请人,以维持我们系统的可信度。

联系

* 你必须亲自与申请人见面;
* 你必须亲眼见到至少一张由政府机构颁发的附带照片的可信身份证件(比如居民身份证、驾驶执照、护照、军官证)。如果申请人提供了两份身份证件,你可以给其分配较多的信用点数;如果只给了一份身份证件,请最好给予较少的信用点数。
* 如申请人尚未填写公证申请表,助其完成填写,并注意所有信息相符。

正在处理中
会议结束后,访问 CAcert 网站的“作公证”页面,并:

* 输入申请人的电子邮件地址;
* 比较在线信息和证件记录的信息;
* 当且仅当两者完全相符,你才可以授予你所能分发的最多的信任点数;

个人隐私
你必须为申请人保守秘密,保证他的隐私权。没有他的同意,绝不可以泄漏申请人提供的信息。

收费
您可以向申请人收取一部分的见面认证劳务费用,当然这必须在申请人在会面前就同意并得知数额。

责任
CAcert 公证人如确知此原则,或者于情于理应该了解该原则,然而在公证申请者时与此原则背道而驰,则该公证人应负责任。

最大点数
CAcert 可能因为政策或规则的改变而不定时地改变某类证人可以分配的公证点数。出于某种 CAcert 政策的需要,我们也可能改变某个人或者某新类型的证人所有的公证点数。
hello Homepage
2010-9-10 10:02
这中ssl证书根本就没啥使用价值的。
ruby
2010-9-29 12:40
现在文章中的https://sms.api.bz怎么不用StartSSL的证书了?
分页: 2/4 第一页 上页 1 2 3 4 下页 最后页
发表评论
表情
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
打开HTML
打开UBB
打开表情
隐藏
记住我
昵称   密码   游客无需密码
网址   电邮   [注册]