1.前言做网站域名不加HTTPS是不专业的,尤其是在使用JWT做认证接口的时候,一定要加HTTPS,给你的接口加一层安全屏障。今天就来说说配置HTTPS的关键SSL证书,也就是CA证书。2.什么是SSL证书?SSL(Securesocketlayer)证书在浏览器和WEB服务器之间建立SSL安全通道,对传输的数据进行加密和隐藏,保证数据在传输过程中不被更改,保证数据的安全。完整性已经成为互联网安全传输的主流标准之一。由于SSL技术已经内置于所有主流浏览器和WEB服务器程序中,我们只需要安装可信证书即可。3、为什么需要从CA获取证书?自己颁发的证书没有在知名的认证机构正式注册,所以不能保证其真实性。如果你访问一个钓鱼网站,这个网站的证书是自己颁发的证书,有什么意义呢?不过自己签发的证书也能保证数据传输的安全,但是主流浏览器不信任你,所以你应该使用权威的CA证书签发机构签发的证书。4.为什么证书这么贵?以前CA机构的证书是收费的,起步价从一两千元到几万不等,而且是年费。其实签一个证书的成本几乎为零,打开一个程序运行一下就可以了,但是为什么虚拟证书这么贵呢?按照胖哥的说法,一个CA机构每年都必须通过WebTrust的年审,并向浏览器厂商付费。而且,还必须向保险公司支付巨额保费。另外,相对先进的证书颁发流程非常严谨,需要大量的人工审核工作。新的CA公司必须等待数年才能获得普遍信任并广泛访问根证书链。如果要加入,就得花钱给其他知名的CA公司购买二级证书,以加快进程。5.有免费证书吗?高昂的价格让很多中小网站望而却步。这时候,一个叫Let'sEncrypt的组织出来了。它是一个免费、开放、自动化的证书颁发机构(CA),旨在为任何拥有域名的人提供免费、可信的证书。当前支持通配符证书,但有效期仅为90天。Let'sEncrypt的意义就像Gmail一样,让电子邮件逐渐免费,走进寻常百姓家。目前大部分低级CA证书都是免费的,可以通过国内几大云厂商申请。如果没有Let'sEncrypt,恐怕我们就要被CA组织割韭菜了。6、CA证书有哪些种类?CA证书可以根据验证方式和域名适配次数来区分。验证方式DV域名验证型SSL证书,大部分免费,只需要验证对应域名的所有权,适用于小型静态网站和博客。完成OV企业验证SSL证书的颁发需要几分钟时间。需要核实域名权属和企业身份信息,证明申请人是合法存在的实体。一般在1至5个工作日内发出。EVExtendedValidationSSL证书,除了验证域名所有权和企业身份信息外,还需要提交扩展验证,如:Dun&Bradstreet等。通常CA机构还会进行回访,一般在2以7工时证发给。价格一般在1000元到10000元左右,适合网络交易网站和企业网站。域名适配单个域名证书,如颁发给www.felord.cn的证书,只能用于本域名,不能用于其下属域名,如assets.felord.cn。通配符证书只能保护一个域名和该域名的所有子域名,域名数量没有限制。多域名证书,这个是最多的,可以同时保护多个域名,不限制域名类型,有兴趣的可以去淘宝的证书。SSL证书绑定的是域名,而不是服务器IP。7.小结今天介绍了SSL证书,相信大家已经知道如何申请适合自己的证书了。然后快速将证书添加到您的网站。另外,胖哥不建议在Tomcat等容器中配置证书,不方便开发,也不利于隐藏真实服务器。推荐使用Nginx代理,并将证书配置为Nginx。本文转载自微信公众号“码农小胖哥”,可通过以下二维码关注。转载本文请联系码农小胖公众号。
