泛域名ssl證書搭建全攻略
本篇目錄
雲禅道( www.zentaopm.com)原禅道無憂在線項目管理, 是禅道開發團隊給大家提供的一款在線的項目管理服務,它提供了禅道軟件專業版本的功能,同時內置了 subversion 和 git 的源碼托管服務,這樣創業型團隊或者跨地域團隊就可以異地辦公,實現跨地域的協同管理。
在實際運營無憂在線過程中,安全是很多客戶比較關心的問題。對于這個問題我們通過很多種手段來加以解決,比如操作系統層面,應用程序層面等等。最近 無憂在線項目管理 又上線了https 訪問功能,進一步加強了無憂在線的安全性。
下面是筆者配置無憂在線https 訪問的過程,謹供大家參考。
一、 https 協議簡介
我們平常訪問網站默認使用的是http 協議,但 http 協議是沒有加密的,所有的內容都是以明文的方式在網絡上進行傳輸,安全性無妨保證。 https 協議則很好的解決了這個問題。
根據維基百科( http://zh.wikipedia.org/wiki/HTTPS)的介紹,HTTPS 的主要思想是在不安全的網絡上創建一安全信道,並可在使用適當的加密包和服務器證書可被驗證且可被信任時,對竊聽和中間人攻擊提供合理的保護。
HTTPS 的信任繼承基于預先安裝在浏覽器中的證書頒發機構(如 VeriSign 、 Microsoft 等)(意即“我信任證書頒發機構告訴我應該信任的”)。因此,一個到某網站的 HTTPS 連接可被信任,當且僅當:
- 用戶相信他們的浏覽器正確實現了 HTTPS 且安裝了正確的證書頒發機構;
- 用戶相信證書頒發機構僅信任合法的網站;
- 被訪問的網站提供了一個有效的證書,意即,它是由一個被信任的證書頒發機構簽發的(大部分浏覽器會對無效的證書發出警告);
- 該證書正確地驗證了被訪問的網站(如,訪問 https://example 時收到了給“ Example Inc. ”而不是其它組織的證書);
- 或者互聯網上相關的節點是值得信任的,或者用戶相信本協議的加密層( TLS 或 SSL )不能被竊聽者破壞。
因此部署https 協議訪問最爲關鍵的就是證書。下面來看下 https 證書的分類。
二、 https( ssl ) 證書分類
2.1 從證書頒發機構來分
從證書的簽發機構來分,可以分爲自我簽發和專業的CA 認證機構簽發兩種。如果只是公司內部使用,可以采用自我簽發的方式來生成 ssl 證書,優勢是完全免費的,部署也方便快捷。但缺點是浏覽器默認認爲這個自我簽發的證書是不被信任的,會彈出警告頁面,提示用戶進行確認。比如 ie 下面這提示這樣的頁面:
這種方式給客戶提供服務就非常不好。所以還是要購買專業CA 機構頒發的證書。
2.2 從證書認證等級來分
從證書認證的等級來分,ssl 證書可以分爲 DV, OV 和 EV 三種:
l DV 是 Domain Validation 的縮寫,意思就是對網站域名所有權進行驗證。 CA 認證機構會向域名持有者的郵箱發送相應的郵件,以確認證書和域名的所有權關系。其特點是簡單快捷,價格便宜,缺點是無法保證網站經營者的身份,因此一般僅用來提供數據加密的功能。
l OV 是 Organization Validation 的縮寫,這種證書在頒發的時候會對網站所有單位的身份進行證實行驗證,所以一般電子商務類的網站往往會做 OV 的認證。價格當然也會比較昂貴,證書頒發周期也會比較久。
l EV 是 Extended Validation 的縮寫,也是最嚴格的身份驗證,當用戶在訪問通過 EV 認證的網站時候,浏覽器的顯示爲綠色,當然價格也是相當的昂貴。 :)
2.3 從證書適用域名個數來分
一個 ssl 证书都有其对应的域名,从其适用的域名个数来分可以分为单域名、多域名和泛域名證書。顾名思义,单域名证书只能适用于一個域名,多域名证书可以适用于多个域名。而泛域名证书,又称为通配符型(wildcard) 證書,可以匹配 *.domain.name 這種形式。
我們無憂在線給客戶提供的訪問路徑都是subdomin.5upm.com 的形式,比如您申请一個 abc 的二级域名,那么访问無憂在線項目管理服务的网址就是 http://abc.5upm.com 。我們要解決的就是爲每一位客戶的二級域名提供安全的 https 訪問服務,那麽泛域名 ssl 證書就是我們的選擇。
下面就是來選購ssl 證書了。 Ssl 证书不同的厂商价格都有不同,我们在网上搜索了之后,找到了一個 cheapssls.com 的網站,它專門代理各個廠商的 ssl 證書,價格比較實惠,下面我們是我們在 cheapssls.com 網站上面購買證書、激活證書的全過程。
三、 購買證書
3.1 注冊用戶
第一步是在cheapssls.com 网站注冊用戶。访问 cheapssls.com ,選擇頁面右上角的 "Sign in" 链接,按照提示注册一個帐号,过程不再赘述。
3.2 選擇廠商
注冊完帳號之後,就可以來選擇要購買的證書和廠商了。我們要購買的是泛域名證書,所以選擇wildcard ssl certificates ,如下圖:
我們選擇了R apidSSl 提供的證書:
3.3 下訂單
确定好证书类型和厂商之后,就可以下訂單了:
一般購買的年份越多,折扣越低。筆者購買的這一款價格是98.99$ ,算起來還是比較實惠的。
3.4 支付
因爲國外網站都使用美元結算,國內用戶購買的話,可以通過信用卡或者paypal 支付。信用卡需要帶有 mastcard 或者 visa 標志的,這種信用卡是支持外幣結算的。
筆者選擇使用paypal 支付:
然後根據頁面的提示到paypal 网站支付就可以了。支付成功之后,下一步的操作就是来激活證書了。
四、 激活證書
4.1 生成 csr 文件
激活證書之前需要在证书安装的服务器上面生成csr 文件, linux 下面可以 openssl 來創建下面的這些文件,基本的步驟和命令如下:
4.1.1 生成 server.key 文件。
首先調用openssl 命令來生成 server.key 文件。
其中需要注意的是加密強度要采用2048 ,同时命令还会让你输入一個保护 key 文件的密碼。
去掉密碼:
openssl rsa -in server.key -out server.nopass.key
mv server.nopass.key server.key
4.1.2 根據 server.key 文件,生成 server.csr 文件
有了server.key 文件之後,就可以來生成 server.csr 文件了。
這個命令裏面需要注意的地方:
Country Name ,填寫 CN ,代表中國。
State or Province Name ,填寫汉语拼音的省份即可。
Locality Name ,填寫所在城市的汉语拼音即可。
Organization Name ,填寫公司的汉语拼音即可。
Organizational Unit Name, 填寫所在的部門的漢語拼音。
Common Name ,這個是最關鍵的,需要填寫 ssl 證書對應的域名,泛域名一定要寫成 *.doomain.com 的形式。
Email Address ,填寫联系人邮箱即可。
通過上面的命令,我們就可以生成server.csr 文件了,下面的步骤就是用这个文件来申請激活證書了。
4.2 申請激活
還是回到cheapssl 網站,登錄系統,然後訪問 my ssl ,選擇購買的證書,激活:
会出现一個申请的表单:
在这个页面会让你选择服务器的类型,我们选择是apache + openssl 。然後下面的文本框裏面將剛才生成的 server.key 裏面的內容拷貝進來,然後點擊下一步,驗證域名的所有者身份:
可以有幾種類型,一種是通過你所申請的域名的郵箱,比如筆者用的5upm.com ,那么就需要一個 @5upm.net 的郵箱,還有一種方式就是通過域名所有人的郵箱來進行驗證。
選擇了驗證方式之後,,系統會提示已經激活成功,下面就是需要登錄剛才填寫的郵箱,確認這次申請。
這是收到的郵件的內容,點擊裏面的鏈接進行確認:
选择"I Approve" :
之後就會收到一封email ,裏面包含了正式的 ssl 證書和INTERMEDIATE CA文件。
這是ssl 證書。
這是INTERMEDIATE CA文件。
下面就是配置apache 来使用證書了。
五、 配置證書
配置apache 證書之前,需要下打開 ssl 模塊,並配置 apache 監聽 443 端口,在此不再贅述,網上有很多資料可以參考。將剛才通過郵件拿到的 ssl 文件和 ca 文件分別保存成 server.crt 和 server.pem 。這樣加上我們之前生成的 key 和 csr 文件,我們總共有四個文件, server.key, server.csr, server.crt, server.pem ,将这四个文件存放在一個目录下面,比如 /etc/apaches/ssl/ 下面,然後配置 apache 的虛擬機:
配置完成之後,重啓apache ,順利的話,就可以通過 https 來訪問了。下面是我們無憂在線的訪問,地址欄已經變成了黃色的加密欄 ( 不同浏覽器顯示不同 ) 。
