目前,网络传输协议已逐步倾向于HTTPS加密协议。而HTTP升级到HTTPS的方法并不难,只需部署一张SSL证书即可,其安装方法并不难。具体系统安装SSL证书方法可参考GDCA SSL证书部署指南。但是其过程有一个比较复杂的问题,就是站点迁移到HTTPS。
HTTP站点迁移到HTTPS时,并非是新建一个站点。如果操作出错,Google就会认为你在新建一个站点。在迁移过程中,会因为重复的内容,新的协议站点会在Google重新计算。毕竟HTTP与HTTPS确实存在差异,一个是为客户端与服务端提供加密协议,是安全可靠的,而另一个不是。
这样,Google就会显示两个网址
https://trustauth.cn
http://trustauth.cn
这样就会出现内容重复的两个不同网页。在技术层面上也是两个不同的页面。这种情况对于各大SEO来说是十分糟糕的,那么应该怎样避免网站迁移到HTTPS时,出现内容重复的两个地址呢?
如何避免Google将http和https页面视为重复的内容?
这种情况最好的方法是在所有的HTTP页面使用301重定向到对应的HTTPS。换个说法就是把每个页面都使用SSL证书,所有页面都使用HTTPS。如果只在单个页面设置HTTPS,那么该站点的访问者就会从安全连接跳转到非安全连接然后返回。这种做法会给服务器带来额外的压力,因为SSL握手过程是一个复杂的过程。并且也存在风险,不法分子也利用不安全协议打开攻击媒介。
竞争对手可以使用你的配置错误
目前,有些服务器就算没有安全的证书也可以向访问者提供HTTPS页面。假设竞争对手使用HTTPS协议链接到您的HTTP站点,Google将其视为重复的内容。Google将会把您的内容编入索引。
如果他们不使用HTTPS和没有重定向,服务器将不提供页面。因此,使用HTTPS链接到您的HTTP站点时就可能会创建一条错误消息“站点无法访问”。
WWW还是非WWW?
关于是否引用WWW,在迁移HTTPS之前,各大站长应提前做好最终决定。对于Google来说:
https://trustauth.cn
https://www.trustauth.cn
这是两个不同的页面,WWW实际上是被视为一个子域名。尽管SSL证书覆盖WWW和非WWW的变体,但浏览器不会将它们视为同一个域名。所以当站长做出了最终选择,并要设置另一个重定向,以免混淆。
建议
希望可帮助用户在迁移到HTTPS时避免重复的内容错误
规范标签 – 即使重定向,将页面的标签规范,将有助于告诉Google在搜索结果中显示哪个页面。
测试服务器 – 服务器如何响应安全和不安全链接的请求?用户需要添加更多的301来弥补。
审核自己的网址 – 通过工具来检查您的网址是否有重复的内容错误。
检查404s – 这只是良好的习惯,使用谷歌搜索控制台来查找和补救网站正在生产的任何404错误。
最后
SSL证书是HTTP明文协议升级HTTPS加密协议的重要渠道,是网络安全传输的加密通道。关于更多SSL证书的资讯,请关注安信。安信致力于网络信息安全,已通过WebTrust 的国际认证,是全球可信任的证书签发机构。安信专业技术团队将根据用户具体情况为其提供最优的产品选择建议,并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。
文章素材由安信翻译thesslstore
Archive: 7 月, 2021
26
7 月2021
昨天,本站发布了一篇名为《站长须知:HTTP迁移HTTPS时,如何避免发生重复内容问题》的文章。介绍了HTTP页面迁移到HTTPS的时候,为了避免出现重复内容的不同网站的情况,建议广大站长将所有的HTTP页面使用301重定向到对应的HTTPS,为了让更多人熟悉301重定向,本文将介绍301重定向的方式。当然大前提用户在服务器上必须要正确安装SSL证书。
301重定向
301重定向是指页面永久性移走,是网页更改地址后对搜索引擎最友好的方法。当网站发生调整,改变了网站的目录结构,网页被移到一个新地址。或者网页扩展名改变,如因应用需要把.php改成.Html或.shtml,http升级到https时都需要做301重定向,不然用户访问到的页面可能会发生404页面错误信息。
如何实现301重定向
1:IIS 服务器实现301 重定向
打开iis,创建一个站点(可以是空文件夹)成功后右键,属性>>网站,ip地址后面的高级中,将需要做301的域名绑定在主机头上。如下图
接下来还在在网站属性>>主目录。下面有3个单选项。选择 重定向到URL(U)输入目标域名url,然后点击应用,最后点击确定。这样就完成了在windows系统中iis下设置301永久重定向了。
以上的设置方法功能都比较单一,只适合网站建设初期的设置,接下来进入更强大的设置模式,适用于已经成功建站的高手们。
2:Apache 服务器实现301 重定向
在Apache 中,有个很重要的文件.htaccess,通过对它的设置,可以实现很多强大的功能,301 重定向只是其中之一。
找到
“redirect permanent / http://www.trustauth.cn:
redirect permanent /xxxx.html http://www.trustauth.cn:修改这句即可。”
3:在.htaccess文件中增加301重定向指令
采用“mod_rewrite”技术,形如:
“RewriteEngine on
RewriteRule ^(.*)$ http://www.trustauth.cn/$1 [R=301,L]”
如指定url或目录进行301重定向,须在.htaccess文件中增加以下指令
“RewriteRule ^(article/zhishu.html|zhishu)$ http://www.trustauth.cn/zhishu/ [R=301,L]\n”.
整站设置301重定向方法
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^(.*)$ http://www.trustauth.cn/zhishu/ [R=301,L]
</IfModule>
4:适用于使用Unix网络服务器的用户
通过此指令通知搜索引擎的spider你的站点文件不在此地址下。这是较为常用的办法。
形如:Redirect 301 / http://trustauth.cn/
5:在服务器软件的系统管理员配置区完成301重定向
适用于使用Window网络服务器的用户
绑定/本地DNS
如果具有对本地DNS记录进行编辑修改的权限,则只要添加一个记录就可以解决此问题。若无此权限,则可要求网站托管服务商对DNS服务器进行相应设置。
DNS服务器的设置
若要将blog.trustauth.cn指向trustauth.cn,则只需在DNS服务中应增加一个别名记录,可写成:blog IN CNAME trustauth.cn。
如需配置大量的虚拟域名,则可写成:* IN CNAME trustauth.cn.这样就可将所有未设置的以trustauth.cn结尾的记录全部重定向到trustauth.cn上。
6:用ASP、PHP、ColdFusion实现301重定向:
ASP下的301重定向
<%@ Language=VBScript %>
<%
Status=”301 Moved Permanently”
AddHeader “Location”,”http://”
%>
ASP .NET下的301重定向
<script runat=”server”>
private void Page_Load(object sender, System.EventArgs e)
{
Status = “301 Moved ... 更多
2021 年 07 月 26 日seo, seo
19
7 月2021
随着HTTPS的覆盖率越来越广,SSL证书的需求量也在上升。为了更加完善HTTPS加密协议的使用,2017年3月CA | B论坛(一个全球证书颁发机构和浏览器的技术论坛)发起了一项关于对域名强制检查CAA的一项提案的投票,获得187票支持,投票有效,提议通过。
提议通过后,将于2017年9月8日根据Mozilla的Gervase Markham提出的检查CAA记录作为基准要求来实施。
什么是DNS CAA?
证书颁发机构授权(全称Certificate Authority Authorization,简称CAA)为改善PKI(Public Key Infrastructure:公钥基础设施)生态系统强度,减少证书意外错误发布的风险,通过DNS机制创建CAA资源记录,从而限定了特定域名颁发的证书和CA(证书颁发机构)之间的联系。
CAA是保护域名免受钓鱼的安全措施,网站运营商可以通过该措施来保护域名免于错误发布。在2013年由RFC 6844进行了标准化,允许CA“降低意外证书错误的风险”。默认情况下,每个公共CA都可以为公共DNS中的任何域名颁发证书,只要它们验证对该证书的控制域名。这意味着,如果在许多公共CA的验证过程中有任何一个错误,每个域名都可能受到影响。CAA为域名持有者提供了降低风险的途径。
而DNS Certification Authority Authorization(DNS证书颁发机构授权)是一项借助互联网的域名系统(DNS),使域持有人可以指定允许为其域签发证书的数字证书认证机构(CA)的技术。它会在 DNS 下发 IP 的同时,同时下发一条资源记录,标记该域名下使用的证书必须由某证书颁发机构颁发。
CAA记录格式
根据规范(RFC 6844),CAA记录格式由以下元素组成:
CAA <flags> <tag> <value>
名词解释:
CAA:DNS资源记录类型
<flags>:认证机构限制标志
<tag>:证书属性标签
<value>:证书颁发机构、策略违规报告邮件地址等
<flags>定义为0~255无符号整型,取值:
Issuer Critical Flag:0
1~7为保留标记
<tag>定义为US-ASCII和0~9,取值:
CA授权任何类型的域名证书(Authorization Entry by Domain) : issue
CA授权通配符域名证书(Authorization Entry by Wildcard Domain) : issuewild
指定CA可报告策略违规(Report incident by IODEF report) : iodef
auth、path和policy为保留标签
<value>定义为八位字节序列的二进制编码字符串,一般填写格式为:
[domain] [“;” * 参数]
设置CAA资源记录
需要当限制域名trustauth.cn及其子域名可由机构GlobalSign颁发不限类型的证书,同时也可由GDCA(trustauth.cn)颁发证书通配符,其他一律禁止,并且当违反配置规则时,发送通知邮件到trustauth@trustauth.cn。
配置如下(为便于理解,二进制值值已经过转码,下同):
trustauth.cn. CAA 0 issue “globalsign.com”
trustauth.cn. CAA 0 issuewild ... 更多
2021 年 07 月 19 日seo, seo
19
7 月2021
TLS,是我们日常所说的SSL证书背后的协议,保护网站和浏览器之间的安全通讯以及身份验证。TLS 1.2在2008年已发行,是目前TLS所有版本中使用时间最长。由于TLS 1.2版本使用广发,深受用户的喜爱。但由于网络安全等级不断提升,是时候推出TLS 1.3。
去年一整年,TLS 1.3仍处于草案阶段。目前,草案二十二是最新版本的TLS。换句话说,目前TLS 1.3仍在修改之中。
为什么花费这么长时间?
第一版的TLS 1.3发布于2014年4月17日,到目前的第二十二版本。这个草案版本不断由Google,Cloudflare,Mozilla等供应商进行测试和评估。他们所做的是推出TLS 1.3支持,对其进行测试,并在发现问题时进行报告。直到2017年2月,因为一个代理问题迫使谷歌退出TLS 1.3的支持。这种问题出现,让人担任。因此TLS 1.3的正式版本推出时间需要继续等待。
TLS 1.2与TLS 1.3 – 有什么区别?
在网络安全协议中,TLS处于出比较重要的位置,因此用户十分期待TLS1.3的推出。具体原因是:
TLS 1.3更快
在HTTPS链接中,当浏览器与WEB服务器发生链接时,它们就会执行SSL / TLS握手以进行身份验证以及对传输信息进行加密。在目前的TLS1.2中,双方需要两次往返才能完成握手。而在TLS 1.3中,需要一次的往返就可以完成,连接的速度更加快速。当然,这里的时间单位为毫秒,因此这对于终端用户来并不有所发觉,但这对于专业人来说,是十分重要。
另一个使TLS 1.3更快的特性是“零往返时间恢复”(0-RTT)。此功能加快了终端用户最近访问网站的网络链接。在移动网络上,这种速度体验变化将会更加明显。
TLS 1.3显然更安全
随着时间的推移,很多安全协议都失去当初的防御能力,TLS 1.2也一样。曾经TLS 1.2一度被认为是完全是安全的,但目前似乎逐渐在减弱(当然,现在仍是安全的协议)。这主要取决于旧的、不安全协议、密码以及算法。TLS 1.3通过对过时的密码算法支持,来消除这些安全风险。主要包括以下几点:
RC4加密算法
RSA密钥传输
SHA-1哈希函数
CBC模式密码
MD5算法
各种Diffie-Hellman组
EXPORT加密算法
DES
3DES
TLS 1.3何时发布?
虽然目前TLS 1.3似乎已经进入最后的阶段,但也许还需要继续研究探讨,因此TLS 1.3发布的时间仍旧没有一个明确的时间段。
在TLS 1.3发布前,服务器终端用户必须对TLS 1.3和SSL / TLS行业发生的所有变化进行最新的了解,并且做出计划更新。
2021 年 07 月 19 日seo, seo
12
7 月2021
微信小程序上线至今已经一年多,一直备受用户的关注。尤其最近微信小程序推出的跳一跳小游戏,在全国掀起了使用小程序的热潮。令更多的开发者投入到小程序的开发中。但在展开小程序的工作前,开发者须了解官方的要求。其中按照微信小程序的官方文档,发出request请求链接地址必须为https。即所有服务器通讯必须使用 HTTPS 协议的安全连接。如果开发者仍旧使用http访问请求的话,只能使用开发环境的预览请求数据。一旦发布,所有请求数据均为失效状态。
因此,开发者在接入微信小程序时,必须通过HTTPS完成与服务器的通信。开发者可在微信的后台发现,所有的网络请求全部默认为HTTPS,如图:微信配置服务器信息
由后台的服务器配置可知
(1)微信小程序后台只支持https。
(2)API请求,文件上传,socket 文件上传和下载,必须是在后台配置,否则微信不允许下载。
(3)后端的请求,是可以配置多个请求的,比如request 请求,可以配置不同的请求,但所有的域名必须备案。
可见HTTPS加密协议已经成为微信小程序必备的基本设置。为了让更多的开发者服务器顺利升级HTTPS协议,安信特推出微信小程序HTTPS解决方案(https://www.trustauth.cn/marketing/wechatssl.html)。
开发者只需要三步,即可获取HTTPS证书,并完成证书部署。
1)选定证书类型
HTTPS证书即SSL证书,是HTTP明文协议升级HTTPS加密协议必备的数字证书。为客户端(浏览器)与服务端(网站服务器)之间搭建一条安全的加密通道,对两者之间交换的信息进行加密。
SSL证书分为:EV SSL证书、OV SSL证书以及DV SSL证书三种类型,以及部分证书支持通配符和多域名的功能。开发者可根据自身情况选择不同类型的证书。
DV SSL证书(域名验证型):只验证域名所有适合个人网站、博客等站点使用;
OV SSL证书(企业验证型):验证网站所属单位身份,适合于中旬性企业级用户使用;
EV SSL证书(扩展验证型):扩展验证网站所属单位身份,适合高度信任的企业级用户使用。如金融行业的银行,电子商务平台。
具体请点击:快速正确选择最佳的SSL证书
2)申请证书
(1)选定证书后,联系GDCA的在线客服人员下单。
(2)接着生成CSR,用户可通过CSR工具自主生成,或通过GDCA提供的在线生成工具(在线生成CSR:https://www.trustauth.cn/SSLTool/)。
(3)然后将CSR内容提交给GDCA的客服人员,而私钥部分须自主保存。
(4)再根据申请证书类型,提交相关资料,审核无误后,就可获取HTTPS证书(SSL证书)。
3)证书部署
第一种方法:自主安装。获取证书后,须部署在服务器上。SSL证书根据服务器的不同系统其安装方式而有所差异,具体的操作步骤可参加GDCA网站的SSL证书部署指南(https://www.trustauth.cn/ssl-guide)。
第二种方法:为了确保SSL证书安装无误,安信提供SSL证书免费售后安装服务,用户可根据需求联系客服人员在线申请。
近年来,因为网络安全的原因,HTTPS被大量的采用,而传统的HTTP逐渐被淘汰。广大用户应及早将服务器的传输协议切换到HTTPS。目前安信推出多种类型的SSL证书,解决不同用户升级到HTTPS 的需求,关于更多的HTTPS或SSL证书的知识可咨询安信在线客服。
2021 年 07 月 12 日seo, seo
12
7 月2021
近日,国内众多的游戏玩家十分抓狂,因为最近Steam国内地区出现了大规模的社区访问错误情况,并提示ERR_CONNECTION_TIMED_OUT错误。导致玩家的Steam个人资料,游戏成就以及手机令牌全部打不开。尽管商店页面能直接访问,但仍然给国内的玩家带来了极大的不便。
据消息透露,2017年12月16日起有玩家称 steamcommunity.com 受到 DNS 污染与 TCP 阻断。
DNS 污染
DNS服务器上的DNS记录被恶意设定为不正确的内容,把域名指往不正确的IP地址。
DNS劫持是长期的,不经手动更改不会修复。
TCP 阻断
通常TCP的建立要经过3次握手。而阻断tcp连接的建立只要在监听到第一次握手的时候,控制系统伪造服务器发起第二次握手回应,就能阻断客户端与服务器连接的建立。
为了帮助国内玩家解决steam社区打不开,ERR_CONNECTION_TIMED_OUT错误。国内信息安全专家安信给出以下多种解决方法:
第一种方法:“科学上网” 换成国外IP
因为目前的steam社区打不开,ERR_CONNECTION_TIMED_OUT错误代码,这种情况只针对国内的IP。因此玩家可以通过“科学的方式”,使本机换成国外的IP地址。
第二种方法:强制浏览器使用https访问
已知修改hosts后,https可以打开,http依然会被阻断,所以在浏览器强制https就可以了:
1、添加hosts:
23.52.74.146 steamcommunity.com
2、强制steam社区https打开
chrome浏览器打开:chrome://net-internals/#hsts
添加 steamcommunity.com
firefox浏览器安装https-everywhere:
https://www.trustauth.cn/files/https-everywhere-latest.xpi
打开 steamcommunity.com 点击为此站点添加规则
IOS:
surge添加hosts后,在url rewrite里添加规则
[URL Rewrite]
^http://steamcommunity.com https://steamcommunity.com 302
Linux
Linux修改目录:/ect/host
添加转向ip:23.52.74.146 steamcommunity.com
如图
更改后 不用重启 直接ping steamcommunity.com
链接顺畅了 然后又可以愉快的云挂卡了
第三种方法:修改自己的hosts
1.修改自己的hosts
23.52.74.146 steamcommunity.com
2.客户端设置
随便打开个游戏。
shift+tab调用gameoverlay。
在gameoverlay中打开网页浏览器,地址输入:chrome://net-internals/#hsts
添加 steamcommunity.com
退出游戏试试看吧。
PS:若浏览器出现“不安全的https”红色提示,请不要再访问https,https也有可能遭到中间人攻击
第四种方法:使用第三方软件steamcommunity 302
在SteamCN论坛,玩家@羽翼城 给出了新的解决方案,专门开发出针对Steam社区的访问出错的steamcommunity 302(目前为V2版)。
这个软件打开后,只需要点击启动服务就能够解决问题,它会修改hosts以及监听80+443端口,而经过测试软件确实能够瞬间解决问题。如果出现端口被占用的话关闭对应监听端口的进程即可。需要注意的是,使用这款软件可能依然无法打开Steam直播和Steam视频,因为它们根本没SSL。
下载地址:https://trustauth.cn/t339527-1-1
关于ERR_CONNECTION_TIMED_OUT更多的解决方案,可点击:错误代码“err_connection_timed_out”的解决方案
可见,HTTPS逐渐成为网站正常访问的基本保障。而SSL证书是HTTP协议升级到HTTPS加密的通用解决方案。而获取SSL证书必须通过数字证书颁发机构,如安信。安信致力于网络信息安全,已通过WebTrust 的国际认证,是全球可信任的证书签发机构。GDCA专业技术团队将根据用户具体情况为其提供最优的产品选择建议,并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。
2021 年 07 月 12 日seo, seo
05
7 月2021
随着HTTP明文协议的弊端不断浮现,以及互联网推出的多项的政策,HTTPS正逐步取代HTTP,成为主流的传输协议。同时SSL证书也成为了网站设置HTTPS的最常见的解决方法,但在部署SSL证书的过程中,很多网络用户都会遇到不同的问题,无法完全正确的部署SSL证书,下面是为使用WordPress的用户整理的相关教程:
方法一:传统方式将 WordPress 开启整站 HTTPS 协议
1.修改wordpress后台配置中的地址改为https版本
技术分享
通过上面的设置,绝大部分导航中的链接就由wordpress系统自动改为HTTPS版本。
2、对于正文中的内部链接需要手工修改,修改的方法有两种:
1)直接在数据库中更新,更新的sql如下:
update wp_posts set post_content = replace(post_content, ‘//www.trustauth.cn/’,‘https://www.trustauth.cn/’)
对于数据库不熟悉的站长不推荐这种方法,对数据库错误的更新对网站可能是毁灭性的打击,建议更新前最好备份数据库。
2)利用wordpress提供的api来重写链接。在使用的主题(themes)的目录下的 function.php加入如下代码:
//转换http为https
function change_ssl(){
if( is_ssl() ){
function change_ssl_main ($content){
$siteurl = get_option(‘siteurl’);
$upload_dir = wp_upload_dir();
$content = str_replace( ‘http:’.strstr($siteurl, ‘//’), strstr($siteurl, ‘//’), $content);
$content = str_replace( ‘http:’.strstr($upload_dir[‘baseurl’], ‘//’), strstr($upload_dir[‘baseurl’], ‘//’), $content);
return $content;
}
ob_start(“change_ssl_main”);
}
}
add_filter(‘get_header’, ‘change_ssl’);
这个方法优点是可逆,不会对网站的数据库有什么影响,可以使网站在HTTP和HTTPS之间自由转换,推荐使用这种方法。
调整完内部链接后,检查整个网站的页面,包括首页,栏目页,内容页,sitemap,页面head部分内容,比如:css,js,canonical等,是否都转换成了HTTPS版本。
方法二、代码方式让 WordPress 开启整站 HTTPS 协议
我们都知道,我们如果使用了 WordPress 的多媒体上传和插入图片附件的时候,附件都被 WordPress 标记为了绝对链接,一般需要修改数据库,但这种方法子凡是非常不推荐的,对于不是非常熟悉数据库的同学们估计网站直接被毁也是可能的,所以子凡在这里推荐一种自己正在使用和即将在 Fanly 主题 2.0 支持的一种方法。
以下代码已于 2017/2/5 ... 更多
2021 年 07 月 05 日seo, seo
05
7 月2021
配置HTTPS主机,必须在server配置块中打开SSL协议,还需要指定服务器端证书和密钥文件的位置:
server {
listen 443;
server_name www.trustauth.cn;
ssl on;
ssl_certificate www.trustauth.cn.crt;
ssl_certificate_key www.trustauth.cn.key;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
…
}
服务器证书是公开的,会被传送到每一个连接到服务器的客户端。而私钥不是公开的,需要存放在访问受限的文件中,当然,nginx主进程必须有读取密钥的权限。私钥和证书可以存放在同一个文件中:
ssl_certificate www.trustauth.cn.cert;
ssl_certificate_key www.trustauth.cn.cert;
这种情况下,证书文件同样得设置访问限制。当然,虽然证书和密钥存放在同一个文件,只有证书会发送给客户端,密钥不会发送。
ssl_protocols和ssl_ciphers指令可以用来强制用户连接只能引入SSL/TLS那些强壮的协议版本和强大的加密算法。从1.0.5版本开始,nginx默认使用“ssl_protocols SSLv3 TLSv1”和“ssl_ciphers HIGH:!aNULL:!MD5”,所以只有在之前的版本,明确地配置它们才是有意义的。从1.1.13和1.0.12版本开始,nginx默认使用“ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2”。
CBC模式的加密算法容易受到一些攻击,尤其是BEAST攻击(参见CVE-2011-3389)。可以通过下面配置调整为优先使用RC4-SHA加密算法:
ssl_ciphers RC4:HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
HTTPS服务器优化
SSL操作需要消耗CPU资源,所以在多处理器的系统,需要启动多个工作进程,而且数量需要不少于可用CPU的个数。最消耗CPU资源的SSL操作是SSL握手,有两种方法可以将每个客户端的握手操作数量降到最低:第一种是保持客户端长连接,在一个SSL连接发送多个请求,第二种是在并发的连接或者后续的连接中重用SSL会话参数,这样可以避免SSL握手的操作。会话缓存用于保存SSL会话,这些缓存在工作进程间共享,可以使用ssl_session_cache指令进行配置。1M缓存可以存放大约4000个会话。默认的缓存超时是5分钟,可以使用ssl_session_timeout加大它。下面是一个针对4核系统的配置优化的例子,使用10M的共享会话缓存:
worker_processes 4;
http {
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
server {
listen 443;
server_name www.trustauth.cn;
keepalive_timeout 70;
ssl on;
ssl_certificate www.trustauth.cn.crt;
ssl_certificate_key www.trustauth.cn.key;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
…
SSL证书链
有些浏览器不接受那些众所周知的证书认证机构签署的证书,而另外一些浏览器却接受它们。这是由于证书签发使用了一些中间认证机构,这些中间机构被众所周知的证书认证机构授权代为签发证书,但是它们自己却不被广泛认知,所以有些客户端不予识别。针对这种情况,证书认证机构提供一个证书链的包裹,用来声明众所周知的认证机构和自己的关系,需要将这个证书链包裹与服务器证书合并成一个文件。在这个文件里,服务器证书需要出现在认证方证书链的前面:
$ cat www.trustauth.cn.crt bundle.crt > www.trustauth.cn.chained.crt
这个文件需要使用ssl_certificate指令来引用:
server {
listen 443;
server_name www.trustauth.cn;
ssl on;
ssl_certificate www.trustauth.cn.chained.crt;
ssl_certificate_key www.trustauth.cn.key;
…
}
如果服务器证书和认证方证书链合并时顺序弄错了,nginx就不能正常启动,而且会显示下面的错误信息:
SSL_CTX_use_PrivateKey_file(” ... 更多
2021 年 07 月 05 日seo, seo