EasySSL 是湖南赛云信息科技有限公司的注册商标。EasySSL 与 Sectigo (原 Comodo CA ) 有战略级别的合作关系,崭新的销售管理模式和强大的技术支持将会为用户带来一个更值得信赖的 SSL 证书颁发机构。
EasySSL 是湖南赛云信息科技有限公司的注册商标。EasySSL 与 Sectigo (原 Comodo CA ) 有战略级别的合作关系,崭新的销售管理模式和强大的技术支持将会为用户带来一个更值得信赖的 SSL 证书颁发机构。
EasySSL 已与中国金融认证中心(CFCA)正式达成战略合作伙伴关系。自此,EasySSL成为CFCA旗下SSL证书、文档签名证书产品在云计算/主机行业的独家运营商。 目前,EasySSL只有一款文档签名证书产品:CFCA文档签名证书。CFCA作为国内一流水平的电子认证服务机构和信息安全综合解决方案提供商,一直致力于创建高水准的基础设施条件和管理体系。而此次推出的这款文档签名证书已通过国际Webtrust审计与认证,拥有国内,国际双资质。并且使用 CFCA 文档签名证书进行的数字签名,符合我国《电子签名法》,这就使得CFCA签名过的电子文档与传统的纸质盖章,手写签名具有同等的法律效力。具有自动防篡改功能,高级版签名证书私钥保存在 Ukey 或加密机中,在获取高防护的同时,兼具便捷、省时的特性。 CFCA文档签名证书的特点: CFCA 文档签名证书经过 Trust Service Principles and Criteria for Certification AuthoritiesVersion 2.0 国际认证规范审计,并取得对应 Webtrust 认证。 CFCA 文档签名根证书 CFCA Identity CA 已正式入根Adobe及微软根证书库信任列表,这标志着 CFCA 文档签名证书已在国际上被全面认可和信任, 产品全球通用。 支持所有移动端平台、支持国内外各种操作系统中的 Adobe 系列产品(如 Adobe reader, Adobe Acrobat)和 Office 系列产品(如 Word,Excel,PowerPoint,office365 及微软在线 Office 平台)。 具备自动防篡改功能,一旦证书签名的文档被修改,签名处即会打“X”,提示用户此文档在签名后遭修改,真实性及合法性存疑。 高级版签名证书私钥被保存在 UKey...
HTTPS HTTPS 中文译名叫做:超文本传输安全协议。它是经由HTTP进行通信,但利用SSL/TLS来加密数据包。HTTPS开发的的主要目的是提供对网站服务器的身份验证,保护交换数据的隐私与完整性。 下图为安装了EV SSL证书的EasySSL官网示例 技术支持 与HTTP的区别: 与HTTP的URL由“http://”起始且默认使用端口80不同,HTTPS的URL由“https://”起始且默认使用端口443。 HTTP是不安全的,且攻击者通过监听和中间人攻击等手段,可以获取网站帐户和敏感信息等。HTTPS被设计为可防止前述攻击,并在正确配置时被认为是安全的。 安装指南: 前文提到HTTPS主要是针对网站服务器进行身份验证,因此网站的服务器运行环境也导致了SSL证书的安装有所不同,需要根据用户网站的实际服务器进行安装部署SSL证书。具体安装操作可以参考EasySSL的数字证书使用指南。 安装过程中还有一些需要注意的场景也在《SSL证书如何安装》一文中指出。 凡在我司购买SSL证书,我司将全程提供服务支持。 EasySSL--全球数字证书领导者Digicert白金战略合作伙伴,亚洲顶尖的网络安全服务商。 致力于为各大、中、小企业提供网络安全,品牌保护以及个人网站的安全防护...
摘要 说起SSL证书的时候,势必会提到CSR这么一个词汇,本文就围绕CSR是什么,什么样,如何生成等内容做个详细的说明。 关键字:CSR,SSL证书,SSLtool CSR是什么 CSR是Certificate Signing Request的英文缩写,即证书签名请求文件,是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。 CSR什么样 CSR是以-----BEGIN CERTIFICATE REQUEST-----开头,-----END CERTIFICATE REQUEST-----为结尾的base64格式的编码。将其保存为文本文件,就是所谓的CSR文件。 CSR如何生成 目前,CSR生成工具非常多,比如openssl工具,keystore explore,XCA等,这里介绍一款在线工具:https://www.easyssl.com.cn/tools 这里有几个关键的要注意下: 域名必须正确输入(如果是非SSL证书,则输入相应的通用名)。 密钥算法选择RSA的话,密钥长度需要2048bit以上(这个默认是2048,没有特殊情况,不要特殊设置);ECC则是256bit以上。 摘要签名虽说目前可以任意,但建议是sha2-256以上。 CSR生成注意事项 匹配的KEY必须保存 有CSR必定有KEY,是成对的,CSR最终变成为证书,和私钥key配对使用。Key是以-----BEGIN RSA PRIVATE KEY-----开头的,-----END RSA PRIVATE KEY-----结尾的。Key必须保存好。 CSR生命周期 证书下发后,CSR无需使用,仅提交时候需要。...
针对java容器,如tomcat,jboss(resin,jetty这两个第三步另有文件)等,都可以用keystore(jks)文件来部署证书。 获取JKS格式的证书 通过mpki下的订单 1、登录https://www.easyssl.com.cn。 2、查看订单后,操作:证书下载。 3、输入订单密码(下订单时候设置的),新设置一个证书密码(之后会用到),选择JKS格式。 4、确定提交后,将下载到一个jks文件,此jks文件的密码就是刚才设置的证书密码。 非mpki,单独生成私钥key文件的 1、获取生成jks文件的需要的文件。这里需要2个文件,1个是私钥文件(此文件是和下订单提交的csr文件一并生成的,文件名里一般保存带有key,用记事本或者vi打开后,开头内容是-----BEGIN RSA PRIVATE KEY-----),可以咨询下提交订单的同事,这个文件没有的话,是无法部署的。另一个文件是证书文件,从证书邮件里,复制第一段(邮件里可能有好几段证书代码,这里第一段指的是您的SSL证书),-----BEGIN CERTIFICATE-----到-----END CERTIFICATE----,保存为server.crt. 这样,就获得了2个文件: 1个是证书文件server.crt; 1个是私钥文件key.txt (任何后缀都可以)。 2、用第一步里的2个文件到这里生成一个jks文件 https://www.easyssl.com.cn/tools/cert-converter 所填项如下: 源格式 pem; 目标格式 jks; 证书文件 选择第一步里的server.crt; 私钥文件 选择第一步里的 key.txt; Pem私钥密码——不填。 3、密钥库密码和确认密码,自己设置一个,不加特殊符号,一会配置文件里用到(如server.xml)。 4、提交后就能或者一个你们域名的jks文件。 到java容器中部署证书 把jks上传到java容器在的服务器上,路径只要不是webapps下就可以,然后到conf目录下server.xml里配置: <Connector protocol="org.apache.coyote.http11.Http11NioProtocol" port="8443" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" keystoreFile="conf\domain.jks" keystorePass="pwd" clientAuth="false" sslProtocol="TLS"/ 这个connector元素默认被注释掉的,打开注释后添加一些属性,如: keystoreFile指向刚才的jks文件; keystorePass值为jks密码,就是刚才第二步里设置的密码; Port是端口; SSLEnable是开启ssl的意思; 保存修改后重启容器即可。 Java容器中的http自动跳转https的安全配置 1、到conf目录下的web.xml。在</welcome-file-list>后面,</web-app>,也就是倒数第二段里,加上这样一段: <security-constraint> <web-resource-collection > <web-resource-name >SSL</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint> 这步目的是让非ssl的connector跳转到ssl的connector去。所以还要配置一步。 2、到server.xml去修改 <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" /> redirectPort改成ssl的connector的端口443 重启后便会生效。...
Httpd的依赖 l SSL卸载驱动。建议:openssl版本1.1.0f+ l Httpd版本(即apache)。建议:2.2.34+ 获取证书 MPKI方式: 1. 登录https://www.easyssl.com.cn。 2. 证书下载pem(apache)格式。 会得到一个zip的压缩包,解压后有三个文件,分别是cer,crt和key后缀的 非MPKI方式: 1. CSR对应的key文件 2. 证书邮件里提取代码,把-----BEGIN CERTIFICATE-----到-----END CERTIFICATE-----(包括开头和结尾,不用换行)复制到txt文本文件里,然后保存为cer后缀;第二段或者还有第三段的,都保存成crt后缀。这样也就获取到apache用的3个文件了。 加载ssl配置 让配置加载 LoadModule ssl_module modules/mod_ssl.so 注: 这可能在conf.modules.d目录下的00-ssl.conf,也可能在httpd.conf,也可能在http-ssl.conf里,版本不一样,目录结构不一样,自然就不一样。 让配置加载ssl配置 IncludeOptional conf.d/*.conf 注: 这里加载的写法很多,主要加载配置ssl的配置目录 SSL相关配置 到ssl.conf去 注意开启443端口的监听 Listen 443 https 然后对要使用证书的virtualhost进行配置 <VirtualHost _default_:443> DocumentRoot "/myproject" #项目目录 SSLEngine on SSLProtocol all -SSLv2 –SSLv3 SSLHonorCipherOrder On SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256 SSLCertificateFile /xx/xx/domain.cer SSLCertificateKeyFile /xx/xx/domain.key SSLCertificateChainFile /xx/xx/domain_ca.crt </VirtualHost> ECC+RSA双证书部署(可选) Httpd版本2.4+ <VirtualHost _default_:443> DocumentRoot "/myproject" #项目目录 SSLEngine on SSLProtocol all -SSLv2 –SSLv3 SSLHonorCipherOrder On SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256 SSLCertificateFile /xx/xx/domain.cer #ECC证书 SSLCertificateKeyFile /xx/xx/domain.key SSLCertificateFile /xx/xx/domain.cer #RSA证书 SSLCertificateKeyFile /xx/xx/domain.key SSLCertificateChainFile /xx/xx/domain_ca.crt #ECC+RSA的证书链合并 </VirtualHost> http跳转https(建议非强制) 让用户请求自然变成https,加载: LoadModule rewrite_module modules/mod_rewrite.so 到80(http)的virtualhost去配置: RewriteEngine on RewriteCond %{SERVER_PORT}...
自从MySSL推出之后,很多网站HTTPS检测评分都达到了A或者A+,但在看检测结果的时候,发现类似于百度和淘宝这类大用户群的网站居然没有评级到A或者在使用的加密套件上有橙色的加密套件,这就让我们非常诧异,难道是这些个网站不注重安全么? 如果说百度评级不高,那还能说得过去,毕竟在搜索的时候没啥重要信息,牺牲一点安全性获取极致的兼容性。但是淘宝这种电商不应该不会不重视网站的安全性。那又是什么原因让这些网站造成了这种情况呢?通过仔细的观察报告结果和查询资料发现,这些网站这样做的原因是为了更好的兼容性,但各家也有不同的做法: 百度 先来看一下的百度的评分: 从图中可以看出www.baidu.com这个网站的评分是C,造成这个评分的主要原因是使用RC4加密套件,文章一开始就说了,评不到A或者更高的原因是为了兼容性,那么再看一下客户端模拟的结果: 从这里发现哪怕用户使用的是IE6这款老古董级别的浏览器也能访问百度。这样的兼容性可以说是异常良好了。但是安全性就有点欠缺,如果要适配IE6这款浏览器,那么SSL协议就必须得支持SSL2和SSL3,因为IE6支持也仅支持这两个协议,SSL2是明确说明不安全的了,SSL3上又有著名的POODLE漏洞问题,SSL3上的所有CBC加密套件都会受该漏洞影响,除去CBC加密套件,那么就只剩下RC4系列的加密套件了,这个没得选择。 淘宝 相对于百度,面对兼容性问题,淘宝又是另一种做法了。 淘宝虽然评分到了A,但是在支持的加密套件中存在橙色的选项: 从图中可以看出淘宝舍弃了SSL3协议,换句话说就是放弃了对IE6的支持,这个从客户端模拟结果上也可以体现出来: 但是那个黄色的TLS_RSA_WITH_3DES_EDE_CBC_SHA又是什么原因呢?这是为了兼容XP上的IE8这类浏览器,这些浏览器器支持加密套件基本都是不安全的,唯一比较安全的就是3DES系列的了。为了兼容这些浏览器这应该算是一种比较好的方式了。 如何达到A+ 最近发现有很多blog主在他们的blog中推荐我们MySSL,这让我们非常惊喜,在这里首先感谢一下这些blog主对我们MySSL的推广。 但是在看到给启用 SSL 的站点推荐个 HTTPS 专用工具网站的评论中,有一些blog主对如何评到A以及A+不是很理解,这里简单的说明一下。 首先要是,这个评分,并不仅仅是针对于证书的部署情况而言的,这是一个多方面综合的评级。其中包括了证书、SSL协议、加密套件、漏洞、不安全的外链等等。如果您的网站的评分已经达到A,那么没有被评到A+的最大的可能性就是没有使用HSTS,使用HSTS的方法很简单,只要在添加Strict-Transport-Security这个HTTP头部信息即可。 用nginx服务器做说明: add_header Strict-Transport-Security "max-age=31536000"; 但有一点需要注意,Strict-Transport-Security中的max-age的时间不能小于15552000。 总结 如果您的服务器需要支持IE6这种古董级别的浏览器,那么就按照百度的做法,如果说对兼容性没有太大的需求,只要主流的浏览器能够访问那么就不要支持3DES系列的加密套件,如果说想要在保证安全性的同时,也要有最好的兼容性,那么就请按照淘宝的配置方式进行配置。 下面给出这三种配置情况: 类似百度 Nginx ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; 类似淘宝 Nginx ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 最好的安全性 Nginx ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256::!MD5; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 但也有可能因为openssl版本的不同会导致相同的配置得到不同的检测结果。如果您的openssl处于较新的版本那么按照最好的安全性进行配置,得到一个A,应该是没有问题的。...
代码签名(Code Signing) 是对可执行文件或脚本进行数字签名以确认软件作者及保证软件签名后未被修改或损坏的措施,此措施使用加密散列来验证真实性和完整性。代码签名证书则是为软件开发者提供的一个理想的解决方案,使得软件开发者对其软件代码进行数字签名。 对代码进行数字签名可以对软件开发者及软件来源进行标识,保障软件在签名之后不被恶意篡改其代码。当用户下载或安装软件是,减少系统的安全警告。代码签名的基础是PKI安全体系。代码签名证书由签名证书公钥以及私钥证书两部分组成。私钥用于代码的签名,公钥用于私钥签名的验证及证书持有者的身份识别。用于代码签名的公钥可以追溯到受信任的CA机构根证书,使用安全的公钥基础设施(PKI)是最佳做法。这虽然不能代码本身可信,但是可以确保它来自所声明的来源。一个CA机构可以提供根级别的信任,并能以代理的方式将信任分配给其他人。如果用户信任一个CA,那么用户也相信该CA及其代理生成的密钥所签名的代码合法性。许多操作系统和框架都内置对一个或多个现有CA的信任(例如VeriSign/Symantec、DigiCert、TC TrustCenter、Comodo、GoDaddy及GlobalSign等)。对大型组织来说,实现与公共CA功能相同但仅在组织内信任的私有CA也是常见的选择。 EasySSL代码签名证书产品有: GlobalSign: Symantec 微软代码签名证书 Office and VBA代码签名证书 Android代码签名证书 Java代码签名证书 Adobe AIR代码签名证书 Thawte代码签名证书 效果展示: 对软件进行数字签名后能够让用户了解软件以及软件发布者的相关信息,并减少安全警告。以微软代码签名为例。效果如下: 签名前效果 签名后效果 通过与SSL证书所用的相同的行业标准加密保护软件安全,使其他人无法修改你的软件代码。作为数字“安全签章”,向用户表示你的代码没有以任何方式被篡改。在下载和安装期间显示开发者姓名或是开发商名称,而不是“身份不明的发布者”,以便让用户知道该软件的合法性。适用于多种类型的文件和语言,包括:.exe、.cab、.dll、.ocx、JAVA、HTML、ActiveX,还包括Microsoft Office 宏文件和支持数字签名的任何其他文件类型。 在我司购买代码签名证书,还可以享受配套的服务。如:完善的本土化电话和电子邮件技术支持、证书有效期内提供的免费补发服务、EasySSL SSL证书运行状态监控服务,并且一次购买多年还可以享受优惠折扣。 EasySSL完善的售后服务,让你不必再担心证书安装以及部署困扰。专业的技术团队提供一对一的安装指导服务。 根据客户的不用运行环境,给出合理的安装建议。 EasySSL,你身边的网络安全专家...
代码签名不仅减少软件下载时弹出的安全警告,让您的用户可以放心下载软件;还可以使厂商信息对下载用户可见,从而建立良好的软件品牌信誉度,提升公司形象。更重要的是,代码签名可以防止您的软件被人非法篡改或被人非法捆绑一些间谍软件后用户下载,从而更有效地保护了软件开发商的切身利益和产品品牌。 在我们日常工作中,不同类型的代码签名证书,支持的功能略有不同,常见的功能支持如下所示: 功能 代码签名证书 EV代码签名证书 SHA-1 ✔︎ ✔︎ SHA-2 ✔︎ Windows XP,Vista,Windows 7(未安装微软安全补丁 3033929) ✔︎ Windows 7(已安装微软安全补丁 3033929)及以上系统 ✔︎ Office 宏 ✔︎ SmartScreen ✔︎ Windows硬件开发人员中心仪表板门户 ✔︎ 注意: 有关 EV 代码签名证书和 Windows 系统硬件开发人员中心仪表盘(Windows Hardware Developer Center Dashboard portal (Dev Portal))功能相关信息,可参看“代码签名证书的相关新闻”板块。...