建站
咨詢
售后
建站咨詢
新聞中心
關(guān)于平臺配置https證書
成都創(chuàng)新互聯(lián)公司主營桂林網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,重慶APP開發(fā)公司,桂林h5小程序開發(fā)搭建,桂林網(wǎng)站營銷推廣歡迎桂林等地區(qū)企業(yè)咨詢準備內(nèi)容:
1、授權(quán)可以的證書文件
2、Nginx上配置證書
3、后端iis上站點上配置證書
4、程序代碼調(diào)整判斷
一、在Nginx上配置證書
listen 443 ssl;
ssl on;
ssl_certificate /usr/local/nginx/keys/xxx.com.pem;
ssl_certificate_key /usr/local/nginx/keys/xxx.com.key;
ssl_session_timeout 5m;
ssl_protocols SSLv3 TLSv1;
ssl_ciphers HIGH:!ADH:!EXPORT56:RC4+RSA:+MEDIUM;
ssl_prefer_server_ciphers on;
server_name xxx.xxx.com;
index index.html;
access_log logs/ssl.lan.xxx.xxx.com access_log;
在Nginx中,配置的負載后端服務(wù)信息
這里需要注意在proxy_pass配置中, 需要使用https方式
二、iis上配置證書
1、導(dǎo)入證書
打開mmc控制臺,添加證書配置項
通過導(dǎo)入對應(yīng)的證書文件, 導(dǎo)入“個人”,“中級證書頒發(fā)機構(gòu)” 這2個節(jié)點都需要導(dǎo)入操作。
2、應(yīng)用站點配置證書
在前面的正確導(dǎo)入證書后,配置站點時選擇https類型后,在SSL證書中,就可以看到導(dǎo)入成功的證書信息
這里需要注意的是證書授權(quán)的域名需要相同,并且對應(yīng)二級域名不要多個“ . "號出現(xiàn)
這里的配置端口30011,這個是提供給Nginx配置中,負載使用的
說明:這里的主機名,可以不配置,在nginx負載時,可以通過ip和端口找到
三、程序中配置支持https
程序中,相關(guān)的考試,計時,視頻,登錄相關(guān)地址,根據(jù)當(dāng)上下文中的IsSecureConnection 判斷連接信息
//
// 摘要:
// 獲取一個值,指示 HTTP 連接是否使用安全套接字(即 HTTPS)。
//
// 返回結(jié)果:
// 如果連接是 SSL 連接,則為 true;否則為 false。
public bool IsSecureConnection { get; }
對應(yīng)的web.config中配置相應(yīng)的節(jié)點,這里主要是考慮支持http, https 兩種不同方式支持,在再則會方便測試環(huán)境中存在2種地址不同情況,因為做了2個節(jié)點的配置,正式使用時,理論上2種類型的域名地址配置的是相同的。
(可以根據(jù)類型配置不同的資源地址)
在平臺中,如登錄使用的是cas服務(wù), 平臺側(cè)與cas進行驗票后,web.config需要進行如下配置:
在web.config中,增加如上節(jié)點的配置,否則會出現(xiàn)以下異常信息,造成用戶登錄不了
Ticket validation error: DotNetCasClient.Validation.TicketValidationException: CAS server ticket validation threw an Exception ---> System.Net.WebException: 服務(wù)器提交了協(xié)議沖突. Section=ResponseHeader Detail=CR 后面必須是 LF
附加說明:
1、針對使用DotNetCasClient組件時,如果需要看相應(yīng)日志信息,需要對web.config增加如下配置
以下是平臺的nginx配置
server {
listen 443 ssl;
ssl on;
ssl_certificate /usr/local/nginx/keys/xxx.com.pem;
ssl_certificate_key /usr/local/nginx/keys/xxx.com.key;
ssl_session_timeout 5m;
#ssl_protocols SSLv3 TLSv1;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!ADH:!EXPORT56:RC4+RSA:+MEDIUM;
ssl_prefer_server_ciphers on;
server_name xxx.xxx.com;
index index.html;
access_log logs/ssl.lan.xxx.xxx.com access_log;
配置永久http重定向https
[dangzheng@db1 extra]$ cat xxx-http-test.conf
server {
listen 80;
server_name xxx.xxx.com;
access_log logs/xxx.xxx.com.access.log access_log;
location / {
rewrite ^(.*) https://xxx.xxx.com/$1 permanent;
}
}
permanent 表示永久重定向
$1 表示域名后帶的參數(shù)信息
配置參考:http://blog.csdn.net/zhanglinjian21/article/details/7631515
配置Nginx 中的 default
解決低版本(xp ie8類似)瀏覽器,只能認到1個https證書問題,如果沒有配置,有多個證書時,瀏覽器訪問就會有可能找到不正確的證書,經(jīng)起訪問不正常現(xiàn)象
五、SSL配置優(yōu)化
1、HSTS
HSTS(HTTP Strict Transport Security)。服務(wù)端返回一個 HSTS 的 http header,瀏覽器獲取到 HSTS 頭部之后,在一段時間內(nèi),不管用戶輸入 www.baidu.com 還是 http://www.baidu.com ,都會默認將請求內(nèi)部跳轉(zhuǎn)成https://www.baidu.com;
將下述行添加到你的 HTTPS 配置的 server 塊中:
add_header Strict-Transport-Security "max-age=31536000";
ssl_session_cache shared:SSL:20m;
ssl_session_timeout 20m;
參照Nginx的官方文檔1MB內(nèi)存大約可以存儲4000個session,按例配置20M大約可以存儲80000。根據(jù)需求合理設(shè)置
ssl_prefer_server_ciphers On; #指定服務(wù)器密碼算法在優(yōu)先于客戶端密碼算法時
既需要https,也需要http,http需要跳轉(zhuǎn)到https
新版本,重新創(chuàng)建新的server配置
server {
listen 80;
server_name www.域名.com;
return 301 https://$server_name$request_uri;(進行跳轉(zhuǎn))
}
server {
listen 443 ssl;
server_name www.域名.com;
ssl_certificate /usr/share/nginx/html/zhengshu/XX.XX.crt;(證書)
ssl_certificate_key /usr/share/nginx/html/zhengshu/XX.XX.key;(證書密鑰)
}
另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn,海內(nèi)外云服務(wù)器15元起步,三天無理由+7*72小時售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場景需求。
標題名稱:基于Nginx配置https證書-創(chuàng)新互聯(lián)
URL分享:http://www.ef60e0e.cn/article/cddshs.html
