logo

EasySSL 是湖南赛云信息科技有限公司的注册商标。EasySSL 与 Sectigo (原 Comodo CA ) 有战略级别的合作关系,崭新的销售管理模式和强大的技术支持将会为用户带来一个更值得信赖的 SSL 证书颁发机构。

联系我们

0731-85818443

support@easyssl.com.cn


工作时间:周一到周日: 早10点 – 晚12点


长沙市雨花区万家丽中路一段中庭国际1613

全场5折起,联系客服获取优惠

电话:0731-85818443

mobile-logo
Top

SSL文档

EasySSL® / SSL文档 (Page 2)
0
0
SSL文档

Httpd的依赖 l  SSL卸载驱动。建议:openssl版本1.1.0f+ l  Httpd版本(即apache)。建议:2.2.34+ 获取证书 MPKI方式: 1.       登录https://www.easyssl.com.cn。 2.       证书下载pem(apache)格式。 会得到一个zip的压缩包,解压后有三个文件,分别是cer,crt和key后缀的 非MPKI方式: 1.     CSR对应的key文件 2.     证书邮件里提取代码,把-----BEGIN CERTIFICATE-----到-----END CERTIFICATE-----(包括开头和结尾,不用换行)复制到txt文本文件里,然后保存为cer后缀;第二段或者还有第三段的,都保存成crt后缀。这样也就获取到apache用的3个文件了。 加载ssl配置 让配置加载 LoadModule ssl_module modules/mod_ssl.so 注: 这可能在conf.modules.d目录下的00-ssl.conf,也可能在httpd.conf,也可能在http-ssl.conf里,版本不一样,目录结构不一样,自然就不一样。 让配置加载ssl配置 IncludeOptional conf.d/*.conf 注: 这里加载的写法很多,主要加载配置ssl的配置目录 SSL相关配置 到ssl.conf去 注意开启443端口的监听 Listen 443 https 然后对要使用证书的virtualhost进行配置 <VirtualHost _default_:443> DocumentRoot "/myproject"  #项目目录 SSLEngine on SSLProtocol all -SSLv2 –SSLv3 SSLHonorCipherOrder On SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256 SSLCertificateFile  /xx/xx/domain.cer SSLCertificateKeyFile /xx/xx/domain.key SSLCertificateChainFile /xx/xx/domain_ca.crt </VirtualHost> ECC+RSA双证书部署(可选) Httpd版本2.4+ <VirtualHost _default_:443> DocumentRoot "/myproject"  #项目目录 SSLEngine on SSLProtocol all -SSLv2 –SSLv3 SSLHonorCipherOrder On SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256 SSLCertificateFile  /xx/xx/domain.cer   #ECC证书 SSLCertificateKeyFile /xx/xx/domain.key SSLCertificateFile  /xx/xx/domain.cer    #RSA证书 SSLCertificateKeyFile /xx/xx/domain.key SSLCertificateChainFile /xx/xx/domain_ca.crt    #ECC+RSA的证书链合并 </VirtualHost> http跳转https(建议非强制) 让用户请求自然变成https,加载: LoadModule rewrite_module modules/mod_rewrite.so 到80(http)的virtualhost去配置: RewriteEngine on RewriteCond %{SERVER_PORT}...

by
0
0
SSL文档

自从MySSL推出之后,很多网站HTTPS检测评分都达到了A或者A+,但在看检测结果的时候,发现类似于百度和淘宝这类大用户群的网站居然没有评级到A或者在使用的加密套件上有橙色的加密套件,这就让我们非常诧异,难道是这些个网站不注重安全么? 如果说百度评级不高,那还能说得过去,毕竟在搜索的时候没啥重要信息,牺牲一点安全性获取极致的兼容性。但是淘宝这种电商不应该不会不重视网站的安全性。那又是什么原因让这些网站造成了这种情况呢?通过仔细的观察报告结果和查询资料发现,这些网站这样做的原因是为了更好的兼容性,但各家也有不同的做法: 百度 先来看一下的百度的评分: 从图中可以看出www.baidu.com这个网站的评分是C,造成这个评分的主要原因是使用RC4加密套件,文章一开始就说了,评不到A或者更高的原因是为了兼容性,那么再看一下客户端模拟的结果: 从这里发现哪怕用户使用的是IE6这款老古董级别的浏览器也能访问百度。这样的兼容性可以说是异常良好了。但是安全性就有点欠缺,如果要适配IE6这款浏览器,那么SSL协议就必须得支持SSL2和SSL3,因为IE6支持也仅支持这两个协议,SSL2是明确说明不安全的了,SSL3上又有著名的POODLE漏洞问题,SSL3上的所有CBC加密套件都会受该漏洞影响,除去CBC加密套件,那么就只剩下RC4系列的加密套件了,这个没得选择。 淘宝 相对于百度,面对兼容性问题,淘宝又是另一种做法了。 淘宝虽然评分到了A,但是在支持的加密套件中存在橙色的选项: 从图中可以看出淘宝舍弃了SSL3协议,换句话说就是放弃了对IE6的支持,这个从客户端模拟结果上也可以体现出来: 但是那个黄色的TLS_RSA_WITH_3DES_EDE_CBC_SHA又是什么原因呢?这是为了兼容XP上的IE8这类浏览器,这些浏览器器支持加密套件基本都是不安全的,唯一比较安全的就是3DES系列的了。为了兼容这些浏览器这应该算是一种比较好的方式了。 如何达到A+ 最近发现有很多blog主在他们的blog中推荐我们MySSL,这让我们非常惊喜,在这里首先感谢一下这些blog主对我们MySSL的推广。 但是在看到给启用 SSL 的站点推荐个 HTTPS 专用工具网站的评论中,有一些blog主对如何评到A以及A+不是很理解,这里简单的说明一下。 首先要是,这个评分,并不仅仅是针对于证书的部署情况而言的,这是一个多方面综合的评级。其中包括了证书、SSL协议、加密套件、漏洞、不安全的外链等等。如果您的网站的评分已经达到A,那么没有被评到A+的最大的可能性就是没有使用HSTS,使用HSTS的方法很简单,只要在添加Strict-Transport-Security这个HTTP头部信息即可。 用nginx服务器做说明: add_header Strict-Transport-Security "max-age=31536000"; 但有一点需要注意,Strict-Transport-Security中的max-age的时间不能小于15552000。 总结 如果您的服务器需要支持IE6这种古董级别的浏览器,那么就按照百度的做法,如果说对兼容性没有太大的需求,只要主流的浏览器能够访问那么就不要支持3DES系列的加密套件,如果说想要在保证安全性的同时,也要有最好的兼容性,那么就请按照淘宝的配置方式进行配置。 下面给出这三种配置情况: 类似百度 Nginx ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; 类似淘宝 Nginx ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 最好的安全性 Nginx ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256::!MD5; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 但也有可能因为openssl版本的不同会导致相同的配置得到不同的检测结果。如果您的openssl处于较新的版本那么按照最好的安全性进行配置,得到一个A,应该是没有问题的。...

by
0
0
SSL文档

证书品牌选择 在证书的选购中,品牌是重要参数之一。好的品牌不仅有些品牌价值,提升使用者竞争力以外,还有着非常高的使用上的兼容性。近年来,国内一些品牌事故频繁、导致了证书使用者运营出现了损失,在这一点上,我们EasySSL是会为广大用户做品质保证的,最好的信任,就是选择EasySSL。 EasySSL运营的品牌有很多: Globalsign、Digicert、Geotrust、Thawte、Sectigo等等   证书类型选择 从产品上,证书分为DV域名型证书,OV企业型证书,EV增强型证书 DV型:适用与个人运营的站点,成本低,颁发速度快。缺点在于,DV由于缺乏人工审核,一些域名在关键词上存在钓鱼嫌疑的域名无法颁发,比如带bank,pay字段的域名。证书颁发后,在证书的使用者里,不会有使用者的信息,此类型证书没有赔付保障。见图1   图1、DV证书 OV型:企业的标配证书,需要提交营业执照、组织机构代码证等,证书机构会有专门审核的人员来审核,所以需要一些审核时间,但比起DV证书来说严格多了。在浏览器使用上效果和DV一样,但证书里会显示使用者信息,此类型证书有赔付保障。   图2、OV证书 EV证书:EV比起OV会审核更严格。不仅在审核方面,使用后的用户体验效果也超出ov好多,也有高额的赔付保障。见图3 OV/DV: EV: 图3、EV的效果 从使用角度,又分为多域名证书(SANs)、通配符或者叫做泛域名证书(Wildcard): 多域名:在证书详细信息中,使用者可选名称里,可以添加多条域名记录。   图4、多域名证书 通配符证书:用*号匹配相同级别的域名,不受数量限制。   图5、通配符证书 从公钥算法来分,分为ECC和RSA,他们优缺点对比: ECC RSA 安全等级 默认256bit >= 3072bit RSA 默认2048bit 算法开销 少 多 流量开销 少 多 兼容性 良 优 那么对于注重性能的站点来说,选择ECC则是较佳的选择。算法可以在证书详细信息的公钥里查看   图6、ECC算法的证书 从加密标准又分,国密标准和国际商用密码标准: 国密(cfca证书) 商用(其它品牌) 公钥 SM2 RSA/ECC 签名 SM3 SHA2-256 系统有国密要求的可选cfca类型的证书。 如何选择 在品牌选择上,那么GlobalSign是最佳品牌。占有率超过了市场一半以上份额,同时也是具有了20年以上时间的行业最悠久品牌。对性价比看重的用户可以选择Geotrust。 在产品选择上,个人或者初创企业适合选择DV证书,成本低,颁发迅速。一般企业选择OV类型,企业的标准配置。如果对用户的体验效果好这点比较看重的话,则选择EV类型。 功能类型选择上,则按照需求分析和预算来。比如有5个二级域名需要申请,那么SANs和wildcard都可以选择使用,这时候就是价格的衡量,5个域名的SANs便宜还是wildcard便宜。如果将来还有域名扩展,用到第六个,甚至以上的时候,则wildcard不会增加额外的费用。另外,有些设备只支持SANs,比如exchange2007。选择时候,可寻求我们商务帮助。 对算法的选择上,云服务商,CDN商或者对网络,性能要求都比较高的企业,可以选择ECC+RSA的双证书组合,在支持ECC的客户端时候优先ECC,RSA则保证了不支持ECC客户端的兼容性。 对加密标准的选择,这部分除了特殊需求强调要求是国密标准以外的,都以国际标准算法为主。国标兼容性非常差,只有特殊设备支持,另外市场化下的客户端,也就是浏览器,对国标算法的支持非常差。   当然、可以联系我们EasySSL,我们的客户会为客户量身定制自己的方案,用最佳的性价比得到最好的服务!...

by
0
0
SSL文档

        与商务确认品牌类型后,就可以进入申请环节了。证书申请,需要一个叫做证书签名请求文件,通称CSR。            正常的流程是: CSR生成 信息确认函提交/域名验证 证书颁发 我们EasySSL,从客户角度出发,把繁琐的步骤简化。https://www.easyssl.com.cn就可以完成所有步骤。 Mpki操作 登录www.easyssl.com.cn 按提示填写信息 提交后,告知跟进商务负责人,帮忙确认订单 在申请过程中,有问题和我们商务负责人联系即可。...

by
0
0
SSL文档

SSL证书在互联网中使用         现在的主流互联网是使用了TCP/IP的协议簇,SSL协议是其中的一个协议。我们SSL证书主要是用于SSL协议的实现。SSL协议通常不会单独实现,会和别的协议一起实现在程序中,所以SSL证书通常会部署到卸载SSL协议的服务程序中来使用。 SSL安装         通常服务端的网络架构,从前到后,会随着TCP/IP协议的底层解包到上层。SSL证书,则是部署在SSL的卸载设备上。SSL的卸载设备就有可能是CDN,WAF,Load balance,http server等。根据不同的设备,就会有不同的部署方式,详细可以参考我们部署指南:https://www.easyssl.com.cn/ssl 需要注意的场景: l  场景1,cdn上部署,通常交由CDN服务商来配置和优化   l  场景2:负载均衡(LB)和LVS软负载,通常部署在LB上,但遇到LVS这种软负载,则要在后端部署,如lvs+nginx的,证书部署到nginx。 ...

by
0
0
SSL文档

正式证书生成 需要CA资质,比如SHCA,BJCA,CFCA,CQCA等等。 如没有CA资质,则必须向CA机构提交证书申请。那么,我们EasySSL的申请入口:https://www.easyssl.com.cn   自签名证书生成 生成工具有很多,这里介绍一款叫做XCA的工具。 官方地址:http://xca.sourceforge.net   运行创建数据目录库后,运行 配置自己的oid及参数 完成后 自签名证书可以帮助测试,正式环境使用还是建议使用可信CA颁发的证书。...

by
3
0
SSL文档

当部署SSL证书后,通过HTTPS访问你的网站,浏览器地址栏会显示“锁”型标识,点击标识后,会显示该证书的认证信息,它的作用类似于我们日常生活中的驾驶证、护照、营业执照的电子副本。本文详细介绍了使用SSL证书的作用以及带来的好处。 SSL证书作用 实现加密传输 网站安装SSL证书后,使用HTTPS加密协议访问网站,可激活客户端浏览器到网站服务器之间的SSL加密通道,实现高强度双向加密传输。 认证服务器真实身份 在网站使用HTTPS协议后,通过SSL证书,浏览器内置安全机制,实时查验证书状态,通过浏览器向用户展示网站认证信息,让用户轻松识别网站真实身份。 保障信息不被窃取 使用了SSL证书后,数据实现了加密传输,保护数据不被泄露或者恶意篡改。 SSL证书好处 防止被钓鱼 没有使用HTTPS协议的网站,攻击者可以伪造一个与真实网站类似的域名来钓鱼(如下图所示): 在网站使用HTTPS协议后,由于SSL证书可以认证服务器真实身份,从而防止钓鱼网站伪造:  提高网站搜索排名 通过百度公告的颁布,明确指出搜索引擎在排名上,会优先对待采用HTTPS协议的网站。 提高网站访问速度 通过HTTP vs HTTPS 对比测试,表明使用了SSL证书的新一代HTTP2协议,其访问网站的速度远远快于使用HTTP协议的网站。 提高公司品牌形象和可信度 部署了SSL证书的网站会在浏览器地址栏中显示HTTPS绿色安全小锁。可告诉用户其访问的是安全可信的站点,可放心的进行操作和交易,有效提升公司的品牌信息和可信度。 其他作用 苹果开发者ATS标准。 2017年1月1日起,苹果公司宣布所有在AppStore上架的应用程序都必须有启用App Transport Security (ATS) 安全通讯技术。SSL证书后的APP应用程序可以通过Apple审核并上架。 微信小程序必须使用SSL证书。帮助微信小程序上架被用户添加。 ...

by
0
0
SSL文档

Secure Socket Layer(SSL)是一种在两台机器之间提供安全通道的协议,具有保护传输数据及识别通信机器的功能。SSL提供的安全通道是透明的,意思是它不变更两台机器之间传输的数据,保证数据经过加密后,一端写入的数据与另一端读取到的内容是完全一致的。本文通过阐述SSL协议在握手过程中的交互,使用户了解SSL证书的工作原理。 SSL握手过程 在SSL握手阶段,客户端和服务器间的交互过程图如下所示: 上述过程图一共可分为六个阶段,每个阶段的具体工作是: 1.客户端发起请求 客户端以明文传输发起请求。请求信息包含版本信息、加密套件候选列表、压缩算法候选列表、随机数、扩展字段等。具体细节如下: 支持的TSL协议版本:从低到高依次是SSLv2、SSLv3、TLSv1、TLSv1.1和TLSv1.2。 支持的加密套件: 每个加密套件对应前面TLS原理中的四个功能的组合,包含认证算法 Au (身份验证)、密钥交换算法 KeyExchange(密钥协商)、对称加密算法 Enc (信息加密)和信息摘要算法MAC(完整性校验)。 支持的压缩算法:用于后续信息的压缩传输。 随机数:用于后续的密钥的生成。 扩展字段:支持协议与算法的相关参数以及其它辅助信息等,常见的Server Name Indication(SNI)就属于扩展字段。 2.服务端响应请求 服务端返回协商的信息结果,包括选择使用的协议版本(version)、选择的加密套件(cipher suite)、选择的压缩算法(compression method)、随机数(random_S)等,其中,随机数用于后续的密钥协商。 服务器端配置对应的证书链,来验证身份与交换密钥。 通知客户端信息发送结束。 3.客户端校验证书 客户端验证证书的合法性,如果验证通过,则进行下一步通信。否则,根据错误情况做出响应的提示或操作。合法性验证的内容如下: 证书链的可信性:方法如前文所述。 证书是否吊销:离线 CRL(证书吊销列表)与在线 OCSP(在线证书列表)两类方式校验,不同的客户端行为会不同。 有效期:证书是否在有效时间范围。 域名:核查证书域名是否与当前的访问域名匹配,匹配规则后续分析。 4.客户端密钥交换 客户端密钥交换:合法性验证通过之后,客户端计算产生随机数字Pre-master,并用证书公钥加密,发送给服务器。此时,客户端已经获取全部的计算协商密钥需要的信息,即两个明文随机数(random_C和random_S) 以及自己计算产生的Pre-master,计算得到协商密钥enc_key=Fuc(random_C, random_S, Pre-Master)。 更改密码规范:客户端通知服务器后续的通信都采用协商的通信密钥和加密算法进行加密通信。 加密的握手消息:结合之前所有通信参数的hash值与其它相关信息生成一段数据,采用协商密钥session secret与算法进行加密,然后发送给服务器用于数据与握手验证。 5.服务端改变密码规范 验证数据和密钥:收到被加密的数据后,用私钥解密,基于之前交换的两个明文随机数(random_C 和random_S),计算得到协商密钥enc_key=Fuc(random_C, random_S, Pre-Master)。通过计算之前所有接收信息的hash值,解密客户端发送的加密握手消息,验证数据和密钥正确性。 改变密码规范:验证通过之后,服务器同样发送改变后的密码规范以告知客户端后续的通信都采用协商的密钥与算法进行加密通信。 加密的握手消息:服务器结合所有当前的通信参数信息,生成一段数据,并采用协商密钥加密会话与算法加密并发送到客户端; 6.握手结束 客户端计算所有接收信息的哈希值,并采用协商好的密钥解密,验证服务器发送的数据和密钥,验证通过则握手完成。开始使用协商密钥与算法进行加密通信。 握手协议的作用 简单概述,SSL握手过程也是SSL证书作用的实现。如: 用户和服务器的合法性认证,对应握手协议中的第三阶段 加密数据来隐藏被传送的数据,对应握手协议中的第四就和第五阶段 保护数据的完整性,对应握手协议中的第六阶段。 有效防止被“冒牌”网站钓鱼。下图为安装了SSL证书后的网站效果: 更多有关SSL证书作用的信息,参阅SSL证书有什么用。 更多信息 公钥和私钥 公钥(Public Key)与私钥(Private...

by
0
0
SSL文档

条件 l  拥有申请证书域名拥有权 l  企业级申请时候,确保企业非限制行业(如核武器) l  确保SSL卸载的设备对证书兼容 申请方式 1).登录到https://www.easyssl.com.cn 2).点击悬浮窗口, 3)联系客服, 向在线客户描述需求 4).客服会引导去https://www.easyssl.com.cn注册账户 5).按照客服指引操作,提交申请即可。 证书申请流程 确定需求,确认采购方案 到MPKI提交请求 DV型证书,验证域名所有权,具体的方法可见联系客服。 OV/EV型证书,到www.easyssl.com.cn里下载信息确认函,然后打印出来后和合同件一起盖章发给我们商务。 审核材料有误的情况下,商务会反馈,对相应部分修改后再提交即可,如果真实资料不符合颁发资质,那么没办法颁发。如:伪造了域名使用权。 正常审核3-14个工作日后,证书颁发。颁发当日即可正常部署使用。 当证书使用过程中,出现私钥泄漏,证书更新等需求时候,可通过mpki直接进行重颁发等操作。 ...

by
0
0
SSL文档

SSL证书之OV SSL证书 OV SSL(Organization Validation SSL Certificate 即 企业型SSL证书), CA机构会对网站域名所有权以及网站所有者(即公司、企业或组织等)身份进行验证,验证方式属于CLASS 3,信任等级更高。保障了网站信息的真实性以及完整性。用户可根据ca证书查看到网站以及网站所有者的相关信息,保障了在线交易安全。 EasySSL目前的OV SSL证书产品主要为: Digicert: 企业型SSL证书专业版(Secure Site Pro) 企业型SSL证书(Secure Site) 企业型通配符证书(Secure Site Wildcard) GeoTrust: 企业型通配符SSL证书(Geotrust True BusinessID Wildcard SSL Certificates) 企业型SSL证书(GeoTrust True BusinessID SSL Certificates) Thawte: 企业型通配符SSL证书(Thawte Wildcard SSL Certificates) 企业型SSL证书(Thawte Web Server SSL Certificates) CFCA: 企业型通配符SSL证书 企业型SSL证书 申请证书: 方式一:联系人工客服,根据客服人员引导完成具体操作。与DV 的申请有所区别的是,OV证书还需要提供公司的相关证明材料。(以客服人员告知为准) 方式二:进入亚洲诚信的MPKI系统自助完成证书申请。 效果展示: 完成OV证书的安装后,浏览器地址栏会有绿色安全锁标识。 与DV不同的是当用户查看SSL证书时,证书信息中包含公司信息。效果类似下图: 在我司购买DV SSL证书还可以得到EasySSL安装检测、EasySSL状态检测、证书有效期内免费补发等相关服务,帮助实时监控网站,保护企业的品牌价值与安全。证书的安装及部署会有技术人员对接,提供全面的技术服务。...

by
« 上一页下一页 »