如何在服务器中配置SSL连接

一、什么是SSL

SSL（Security Socket Layer）全称是加密套接字协议层，它位于>1）将证书上传至阿里云服务器；点击“负载均衡”-“证书管理”-“创建证书”
2）设置“证书名称”；
选择证书类型”–服务器证书；
填写证书内容”–将刚才保存的Servercrt（包含了中间证书），全部复制并粘贴；
“私钥”–将Serverkey，复制并粘贴；
“证书region”请选择要使用证书的地域。目前如需要在多个地域使用证书，请在多个地域上传。
3）部署证书；在“负载均衡”菜单点击“实例管理”，选择需要部署证书的实例，点击“管理”。
4）然后选择“添加监听”：
“前端协议”选择“>您好！
服务器安装SSL证书，实现浏览器100%信任，必须要Gworg CA机构颁发可信SSL证书，部署到独立服务器才可以实现，配置SSL证书除了技术上的完成，还具备一张可信CA机构的证书！服务器与SSL证书都是收费的，完整的ATS安全条件配置，还需要专业技术人员完成！您如果是局域网IP或个人登陆，可以在登陆上生成私有SSL证书，当然他不会被浏览器信任，但可以实现自我的需要。

创建自签名证书的步骤
注意：以下步骤仅用于配置内部使用或测试需要的SSL证书。
第1步：生成私钥使用openssl工具生成一个RSA私钥
$ openssl genrsa -des3 -out serverkey 2048
说明：生成rsa私钥，des3算法，2048位强度，serverkey是秘钥文件名。
注意：生成私钥，需要提供一个至少4位的密码。
第2步：生成CSR（证书签名请求）生成私钥之后，便可以创建csr文件了。
此时可以有两种选择。理想情况下，可以将证书发送给证书颁发机构（CA），CA验证过请求者的身份之后，会出具签名证书（很贵）。另外，如果只是内部或者测试需求，也可以使用OpenSSL实现自签名，具体 *** 作如下：

$ openssl req -new -key serverkey -out servercsr
说明：需要依次输入国家，地区，城市，组织，组织单位，Common Name和Email。其中Common Name，可以写自己的名字或者域名，如果要支持>

windows系统下的教程如下所示：

SSL部署前特别说明

1 陕西CA SSL服务器证书部署指南(以下简称“本部署指南”)主要描述如何通过第三方系统产生密钥对和如何将SSL服务器证书部署到Apache服务器

2 本部署指南适用于linux、windows系统下Apache 2X版本；

获取服务器SSL证书

  获取SSL证书

在您完成申请SNCA服务器证书的流程后，SNCA将会在返回给您的邮件中附上根证书issuercrt和相应的CA证书。CA证书就是文件就是youdomaincrt和私钥文件youdomainkey,请确认所收到的证书文件是您需要的CA证书。

安装服务器SSL证书

1、打开 apache 安装目录下 conf 目录中的 >

找到 #LoadModule ssl_module modules/mod_sslso

(如果找不到请确认是否编译过 openssl 插件)

#Include conf/extra/>

2、打开 apache 安装目录下 conf/extra 目录中的 >

a打开Apache22/conf/extra/目录下的>

”ServerName >

DocumentRoot指定网页文件路径;

(此处的配置和>

b添加SSL协议支持语句，关闭不安全的协议和加密套件

SSLProtocol all -SSLv2 -SSLv3

c修改加密套件如下

SSLCipherSuite

ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!3DES:!MD5:!ADH:!RC4:!DH:!DHE

d找到如下三个选项SSLCertificateFile、SSLCertificateKeyFile和SSLCertificateChainFile这三个配置项，将youdomaincrt和youdomainkey 及证书链

issuercrt文件上传到该目录（这里是/usr/local/apache/conf/sslcert，windows路径自己指定）下：

完整的配置文件如下：

保存退出，并重启Apache，

访问测试

服务器若部署了SSL证书，浏览器访问时将出现安全锁标志；

SSL备份和恢复

在您完成服务器证书的安装与配置后，请务必要备份好您的服务器证书，避免证书遗失给您造成不便：

  备份服务器证书

备份服务器证书私钥文youdomainkey，服务器证书文件youdomaincrt。

2恢复服务器证书

参照步骤“三、安装服务器证书”即可完成恢复 *** 作。

证书遗失处理

若您的证书文件损坏或者丢失且没有证书的备份文件，请联系SNCA办理遗失补办业务，重新签发服务器证书。

可以自己建立SSL证书用在自己的服务器上，这种证书也叫自签名SSL证书，就是自己给自己颁发的，出于网站安全考虑，不建议使用这种SSL证书，因为它有很多缺点：
第一、被“有心者”利用。
其实“有心者”指的就是黑客。自签名SSL证书你自己可以签发，那么同样别人也可以签发。黑客正好利用其随意签发性，分分钟就能伪造出一张一模一样的自签证书来安装在钓鱼网站上，让访客们分不清孰真孰假。
第二、浏览器会d出警告，易遭受攻击
前面有提到自签名SSL证书是不受浏览器信任的，即使网站安装了自签名SSL证书，当用户访问时浏览器还是会持续d出警告，让用户体验度大大降低。因它不是由CA进行验证签发的，所以CA是无法识别签名者并且不会信任它，因此私钥也形同虚设，网站的安全性会大大降低，从而给攻击者可乘之机。
第三、安装容易，吊销难
自签名SSL证书是没有可访问的吊销列表的，所以它不具备让浏览器实时查验证书的状态，一旦证书丢失或者被盗而无法吊销，就很有可能被用于非法用途从而让用户蒙受损失。同时，浏览器还会发出“吊销列表不可用，是否继续？”的警告，不仅降低了网页的浏览速度，还大大降低了访问者对网站的信任度。
第四、超长有效期，时间越长越容易被破解
自签名SSL证书的有效期特别长，短则几年，长则几十年，想签发多少年就多少年。而由受信任的CA机构签发的SSL证书有效期不会超过2年，因为时间越长，就越有可能被黑客破解。所以超长有效期是它的一个弊端。

---