揭秘HTTPS绑定域名的全流程:从这一步开始,实现安全稳定的访问
随着互联网技术的不断发展,网络安全问题日益受到人们的关注。
为了确保用户能够安全稳定地访问网站,HTTPS绑定域名成为了一种重要的安全措施。
本文将详细介绍HTTPS绑定域名的全流程,帮助读者了解如何完成这一操作,以实现网站的安全稳定访问。
一、了解HTTPS与域名
在介绍HTTPS绑定域名的流程之前,我们需要先了解HTTPS和域名的概念及其作用。
1. HTTPS:HTTPS是一种通过SSL/TLS加密传输协议的HTTP安全版本,它可以对网站数据进行加密,确保用户与网站之间的通信安全。
2. 域名:域名是网站的网址,用于访问网站。域名具有唯一性,是网站的重要标识。
二、HTTPS绑定域名的意义
将HTTPS与域名绑定,意味着用户通过域名访问网站时,将使用HTTPS协议进行通信,从而确保数据传输的安全性。
这对于保护用户隐私、防止数据泄露具有重要意义。
三、HTTPS绑定域名的全流程
1. 购买域名:你需要前往域名注册商购买一个域名。在购买时,需要注意选择与网站业务相关的域名,并确保域名的可用性和合法性。
2. 申请SSL证书:SSL证书是HTTPS协议中用于加密通信的重要凭证。你可以向权威的证书颁发机构(CA)申请SSL证书。根据需求,选择适合的证书类型,如单域名证书、多域名证书或通配符证书等。
3. 安装SSL证书:获取SSL证书后,需要在服务器上安装证书。具体安装步骤因服务器类型而异,需按照服务器提供商的指引进行操作。
4. 配置域名DNS:在完成SSL证书的安装后,需要将域名与服务器IP地址进行关联。这一步骤需要在域名管理后台进行DNS配置,将域名指向已安装SSL证书的服务器IP地址。
5. 启用HTTPS协议:在服务器上启用HTTPS协议。这一步骤需要根据服务器类型和操作系统进行相应的配置。一般来说,需要在服务器的配置文件中设置HTTPS的相关参数,如证书路径、端口号等。
6. 测试与调试:完成上述步骤后,需要测试网站是否已成功启用HTTPS协议。可以通过访问域名,观察浏览器地址栏是否显示绿色的安全锁图标来确认。同时,还可以利用SSL检测工具对网站的安全性进行检测,以确保数据传输的安全性。
四、注意事项
1. 选择合适的证书:在申请SSL证书时,需根据网站需求选择合适的证书类型,以确保网站的安全性和经济性。
2. DNS配置正确:在进行DNS配置时,需确保域名指向正确的服务器IP地址,否则可能导致用户无法访问网站。
3. 定期更新证书:SSL证书具有一定的有效期,需在证书过期前进行更新,以确保网站的安全。
4. 保持服务器安全:除了启用HTTPS协议外,还需保持服务器的安全,定期更新服务器软件、防火墙等安全措施,以防止安全漏洞。
五、总结
通过以上介绍,我们了解了HTTPS绑定域名的全流程。
为了实现网站的安全稳定访问,我们需要购买域名、申请SSL证书、安装证书、配置DNS、启用HTTPS协议,并进行测试与调试。
在这一过程中,我们需要注意选择合适的证书、确保DNS配置正确、定期更新证书并保持服务器安全。
希望本文能帮助读者了解HTTPS绑定域名的相关知识,实现网站的安全稳定访问。
怎样在应用程序中使用SSL
HTTPS实际是SSL over HTTP, 该协议通过SSL在发送方把原始数据进行加密,在接收方解密,因此,所传送的数据不容易被网络黑客截获和破解。
本文介绍HTTPS的三种实现方法。
方法一 静态超链接这是目前网站中使用得较多的方法,也最简单。
在要求使用SSL进行传输的Web网页链接中直接标明使用HTTPS协议,以下是指向需要使用SSL的网页的超链接:SSL例子需要说明的是,在网页里的超链接如果使用相对路径的话,其默认启用协议与引用该超链接的网页或资源的传输协议相同,例如在某超链接“”的网页中包含如下两个超链接:SSL链接非SSL链接那么,第一个链接使用与“”相同的传输协议HTTPS,第二个链接使用本身所标识的协议HTTP。
使用静态超链接的好处是容易实现,不需要额外开发。
然而,它却不容易维护管理; 因为在一个完全使用HTTP协议访问的Web应用里,每个资源都存放在该应用特定根目录下的各个子目录里,资源的链接路径都使用相对路径,这样做是为了方便应用的迁移并且易于管理。
但假如该应用的某些资源要用到HTTPS协议,引用的链接就必须使用完整的路径,所以当应用迁移或需要更改URL中所涉及的任何部分如:域名、目录、文件名等,维护者都需要对每个超链接修改,工作量之大可想而知。
再者,如果客户在浏览器地址栏里手工输入HTTPS协议的资源,那么所有敏感机密数据在传输中就得不到保护,很容易被黑客截获和篡改!方法二 资源访问限制为了保护Web应用中的敏感数据,防止资源的非法访问和保证传输的安全性,Java Servlet 2.2规范定义了安全约束(Security-Constraint)元件,它用于指定一个或多个Web资源集的安全约束条件;用户数据约束(User-Data-Constraint)元件是安全约束元件的子类,它用于指定在客户端和容器之间传输的数据是如何被保护的。
用户数据约束元件还包括了传输保证(Transport-Guarantee)元件,它规定了客户机和服务器之间的通信必须是以下三种模式之一:None、Integral、Confidential。
None表示被指定的Web资源不需要任何传输保证;Integral表示客户机与服务器之间传送的数据在传送过程中不会被篡改; Confidential表示数据在传送过程中被加密。
大多数情况下,Integral或Confidential是使用SSL实现。
这里以BEA的WebLogic Server 6.1为例介绍其实现方法,WebLogic是一个性能卓越的J2EE服务器,它可以对所管理的Web资源,包括EJB、JSP、Servlet应用程序设置访问控制条款。
假设某个应用建立在Weblogic Server里的/mywebAPP目录下,其中一部分Servlets、JSPs要求使用SSL传输,那么可将它们都放在/mywebAPP/sslsource/目录里,然后编辑/secureAPP/Web-INF/文件,通过对的设置可达到对Web用户实现访问控制。
当Web用户试图通过HTTP访问/sslsource目录下的资源时,Weblogic Server就会查找里的访问约束定义,返回提示信息:Need SSL connection to access this resource。
资源访问限制与静态超链接结合使用,不仅继承了静态超链接方法的简单易用性,而且有效保护了敏感资源数据。
然而,这样就会存在一个问题: 假如Web客户使用HTTP协议访问需要使用SSL的网络资源时看到弹出的提示信息: Need SSL connection to access this resource,大部分人可能都不知道应该用HTTPS去访问该网页,造成的后果是用户会放弃访问该网页,这是Web应用服务提供商不愿意看到的事情。
方法三 链接重定向综观目前商业网站资源数据的交互访问,要求严格加密传输的数据只占其中一小部分,也就是说在一个具体Web应用中需要使用SSL的服务程序只占整体的一小部分。
那么,我们可以从应用开发方面考虑解决方法,对需要使用HTTPS协议的那部分JSPs、Servlets或EJBs进行处理,使程序本身在接收到访问请求时首先判断该请求使用的协议是否符合本程序的要求,即来访请求是否使用HTTPS协议,如果不是就将其访问协议重定向为HTTPS,这样就避免了客户使用HTTP协议访问要求使用HTTPS协议的Web资源时,看到错误提示信息无所适从的情况,这些处理对Web客户来说是透明的。
实现思想是:首先创建一个类,该类方法可以实现自动引导Web客户的访问请求使用HTTPS协议,每个要求使用SSL进行传输的Servlets或JSPs在程序开始时调用它进行协议重定向,最后才进行数据应用处理。
J2EE提供了两种链接重定向机制。
第一种机制是RequestDispatcher接口里的forward()方法。
使用MVC(Model-View-Controller)机制的Web应用通常都使用这个方法从Servlet转移请求到JSP。
但这种转向只能是同种协议间的转向,并不能重定向到不同的协议。
第二种机制是使用HTTPServletReponse接口里的sendRedirect()方法,它能使用任何协议重定向到任何URL,例如(“”);此外,我们还需使用到Java Servlet API中的两个方法:ServletRequest接口中的getScheme(),它用于获取访问请求使用的传输协议;HTTPUtils类中的getRequestUrl(),它用于获取访问请求的URL,要注意的是该方法在Servlet 2.3中已被移到HTTPServletRequest接口。
以下是实现协议重定向的基本步骤:1. 获取访问的请求所使用的协议;2. 如果请求协议符合被访问的Servlet所要求的协议,就说明已经使用HTTPS协议了,不需做任何处理;3. 如果不符合,使用Servlet所要求的协议(HTTPS)重定向到相同的URL。
例如,某Web用户使用HTTP协议访问要求使用HTTPS协议的资源BeSslServlet,敲入“URL:”,在执行BeSslServlet时首先使用ProcessSslServlet.processSsl()重定向到,然后 BeSslServlet与客户浏览器之间就通过HTTPS协议进行数据传输。
以上介绍的仅是最简单的例子,是为了对这种重定向的方法有个初步的认识。
假如想真正在Web应用中实现,还必须考虑如下几个问题:● 在Web应用中常常会用到GET或Post方法,访问请求的URL中就会带上一些查询字串,这些字串是使用getRequesUrl()时获取不到的,而且在重定向之后会丢失,所以必须在重定向之前将它们加入到新的URL里。
我们可以使用()来获取GET的查询字串,对于Post的Request参数,可以把它们转换成查询串再进行处理。
● 某些Web应用请求中会使用对象作为其属性,必须在重定向之前将这些属性保存在该Session中,以便重定向后使用。
● 大多数浏览器会把对同一个主机的不同端口的访问当作对不同的主机进行访问,分用不同的Session,为了使重定向后保留使用原来的Session,必须对应用服务器的Cookie 域名进行相应的设置。
以上问题均可在程序设计中解决。
通过程序自身实现协议重定向,就可以把要求严格保护的那部分资源与其他普通数据从逻辑上分开处理,使得要求使用SSL的资源和不需要使用SSL的资源各取所需,避免浪费网站的系统资源。
如何进入IP为118.113.113.21的计算机
TELNET,SSH
如何配置 Notes 客户端通过双向认证访问 Web 站点
双向认证的概述传统的单项认证可以让客户端对于服务器的身份进行鉴别,一旦认证通过用户就可以通过用户名和密码这种表单或其他认证形式通过服务器端的认证。
如果用户的登录账户信息被泄露了,那么服务器端对此便无能为力了。
但是,如果 Web 站点的管理员启用了双向认证那么除了用户表单,客户端还需向服务器端提供用户的客户端证书,从而使得用户的个人信息和资源得到更好的保护。
免费下载:IBM Notes 客户端下载更多的 IBM 软件试用版,并加入 IBM 软件下载与技术交流群组,参与在线交流。
从技术的层面上来讲,双向认证就是指服务器和客户端在没有用户干预的情况下分别对彼此的身份进行认证。
双向 SSL 会强制要求用户提供客户端证书,服务器会通过数字签名对用户的信息的真实性进行验证。
不过,由于双向认证的复杂性、花费和有效性等问题,目前大部分 Web 应用并没有采用这种认证方式,强制要求用户提供客户端证书。
在 Windows 2008 server 上添加标准 CA 角色接下来让我们以 Windows 2008 R2 Server 为例具体介绍如何在服务器端开启 SSL 和双向认证方式。
1. 准备一台装有 Windows 2008 2 系统的服务器,可以安装在物理机上也可以是虚拟机。
进入系统后右键点击我的电脑->管理,进入服务器管理器。
选中“角色”栏,在右侧面板选择添加角色。
图 1. 服务器管理器页面图 1. 服务器管理器页面2. 在添加角色向导中选择“下一步”。
3. 选择“Active Directory 证书服务”和“Web 服务器(IIS)”,点击下一步。
在这里为了简便,我们将申请证书所需的 CA 和提供 Web 服务的 IIS 安装在了一台 Windows 2008 上。
4. 忽略 Active Directory 证书服务简介,直接点击下一步。
5. 在“选择角色服务”中会默认选择“证书颁发机构”,在这里我们手动将“证书颁发机构 Web 注册”添加进来,在添加时会根据所需服务的依赖情况建议同时安装某些服务和角色,我们选择“添加所需的角色服务”,点击下一步。
图 2. 添加所需的角色服务页面图 2. 添加所需的角色服务页面6. 保持“指定安装类型”的默认选项–独立,点击下一步。
7. 在“指定 CA 类型”页,选择“根 CA”选项。
8. 在“设备私钥”页,选择“新建私钥”,点击下一步。
9. 在“为 CA 配置加密”页,选择默认值。
10. 在“配置 CA 名称”页,根据具体情况键入 CA 的公用名称,点击下一步。
11. 在“设置有效期”页,根据自身情况设置 CA 生成证书的有效期,点击下一步。
12. 在“配置证书数据库”页保持默认值,点击下一步。
13. 在“Web 服务器(IIS)”页,点击下一步。
14. 在“选择角色服务”页,保持默认选项,点击下一步。
15. 在“确认安装选择”页,确认安装选项准确无误并点击安装。
16. 在“安装结果”页,查看安装结果成功后点击关闭。
图 3. 安装结果页面图 3. 安装结果页面至此,AD 证书服务和 IIS Web 服务就安装完毕了,重启服务器以确保新安装的服务能够生效。
配置 IIS Web 站点使用 SSL待服务器重启完毕后,通过浏览器访问 IIS Web 站点,确保 HTTP 服务已经启动。
在开启 SSL 时,网站的管理员可以通过 IIS 本身的服务器证书功能快速创建服务器端自签名证书,具体步骤如下:1. 从开始->所有程序->管理工具,选中 Internet 信息服务(IIS)管理器。
图 4. 管理工具页面图 4. 管理工具页面2. 在树状控制面板中选中带有计算机名称的根节点,在右侧主面板中双击“服务器证书”。
图 5. 服务器证书页面图 5. 服务器证书页面3. 点击创建自签名证书链接。
图 6. 创建自签名证书图 6. 创建自签名证书4. 为证书添加证书名称。
5.确认自签名证书添加成功。
6. 在左侧连接面板选中默认站点节点,然后在右侧操作栏中选择“绑定”链接。
7. 在网站绑定框中点击“添加”按钮。
图 7. 网站绑定页面图 7. 网站绑定页面8. 从“类型”中选择 https,在 SSL 证书中选择在第四步中创建的自签名证书,点击确定。
图 8. 添加网站绑定页面图 8. 添加网站绑定页面9. 打开 Web 浏览器,输入 h/主机名,访问测试站点 SSL 是否开启。
如果看到如下图,证明 SSL 已经开启成功。
图 9. 测试站点页面图 9. 测试站点页面向 CA 申请带有私钥的个人证书打开 Web 浏览器,输入测试网站的证书申请网址,如:/测试服务器域名/certsrv/。
待下面网页加载后点击其中的“申请证书”。
图 10. 测试网站证书申请网址页面图 10. 测试网站证书申请网址页面选择“高级证书申请”链接。
图 11. 选择证书类型页面图 11. 选择证书类型页面选择创建并向此 CA 提交一个申请链接。
在高级证书申请中填写相关信息并在证书类型中选择“客户端认证证书”。
图 12. 高级证书申请填写页面一图 12. 高级证书申请填写页面一注意:一定要在密钥选项中选择“标记密钥为可导出”单选框,其他值保持默认即可。
