今天,所有使用谷歌浏览器稳定版的用户迎来了第一个正式版v68的发布。详细版本号为v68.0.3440.75,之前正式版为v67.0.3396。99于6月13日发布。从Chrome68开始,当加载非HTTPS站点时,地址栏上会明确标记为“NotSecure(不安全)”。谷歌长期以来一直在大力推广,但由于迁移到HTTPS难度大,存在一定的技术壁垒,成本也比较高。其次,当时没有一个行业在推动这个变化,所以当时没有太多的响应和支持。但现在情况不同了。在谷歌的不懈努力下,HTTPS在安全性和搜索引擎友好性方面也有着很大的优势。目前,排名前100的网站中有81个默认使用HTTPS。那么,Chrome这次升级之后,为了给用户带来更好的用户体验和更多的信任,网站升级到HTTPS的过程可能会比以前更快,那么我们的网站应该如何升级到HTTPS,以及如何配置平滑过渡.升级HTTPS,我们可以分为三个步骤:购买证书、安装证书、设置重定向。下面我们来展开一下这三个步骤的具体实现过程。证书分为三种类型:DV、OV和EV。这三种类型有什么区别?DV(Domain-TypeSSL):个人站点、iOS应用分发站点、登录等有简单https加密要求的链接;OV(EnterpriseSSL):企业官网;EV(EnhancedSSL):对安全要求更高的企业官网、电子商务、互联网金融网站;SSL证书部署类型分为单域名、多域名、通配符等类型。这里我们以葡萄城官网为例,使用OV通配符证书,即一张证书可以保护*.grapecity.com.cn下的所有二级子域名。您可以根据需要选择申请购买。购买证书后,您可以下载域名对应的证书文件。根据你的web服务器类型的不同,一般的证书也可以分为很多种。请根据您的实际情况下载安装。一般常见的Web服务器分为Nginx、Apache、Tomcat、IIS6、IIS7/8。下面我们来看看证书下载完成后如何在服务器上安装/配置SSL证书。Nginx1。首先在Nginx安装目录下创建一个cert目录,将所有下载的文件复制到cert目录下。2、打开Nginx安装目录下conf目录下的nginx.conf文件,找到“HTTPS服务器”部分。3.指定证书路径,如下图并保存:4.server{listen443;server_name你的网站域名;sslon;roothtml;indexindex.htmlindex.htm;ssl_certificatecert/你的证书文件名.pem;ssl_certificate_keycert/你的证书文件名。关键;ssl_session_timeout5m;ssl_ciphersECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;ssl_protocolsTLSv1TLSv1.1TLSv1.2;ssl_prefer_server_cipherson;location/{roothtml;indexindex.htmlindex.htm;}}5.重启Nginx。这时候你的站点应该可以通过https访问Apache1了。在Apache安装目录下创建cert目录,将下载的所有文件复制到该目录下的cert中。2、打开Apache安装目录下conf目录下的httpd.conf文件,找到如下内容,去掉“#”: 3、#LoadModulessl_modulemodules/mod_ssl.so#Includeconf/extra/httpd-ssl.conf4.打开Apache安装目录下的conf/extra/httpd-ssl.conf文件(或conf.d/ssl.conf),在配置文件中找到如下语句并配置 #添加SSL协议支持协议,去掉不安全协议SSLProtocolall-SSLv2-SSLv3#修改密码套件如下.pem#证书私钥配置SSLCertificateKeyFilecert/你的证书文件名.key#证书链配置,如果该属性有'#'开头,请删除SSLCertificateChainFilecert/chain.pem5,重启ApacheTomcatTomcat支持JKS格式证书,但从Tomcat7也支持PFX格式的证书,两种格式任选其一1、在Tomcat安装目录下创建一个cert目录,将下载的所有文件复制到cert目录下。2、在Tomcat安装目录下找到文件server.xml,找到Connectionport="8443"标签,根据证书类型添加如下对应属性:如果是PFX证书keystoreFile="cert/你的证书文件name.pfx"keystoreType="PKCS12"keystorePass="证书密码"如果是JKS证书keystoreFile="cert/你的证书文件名.jks"keystorePass="证书密码"重启TomcatIIS61,导入证书Start->Run->MMC启动控制台程序,在“文件”菜单中选择“添加/删除管理单元”->“添加”,从“可用的独立管理单元”列表中选择“证书”->选择“ComputerAccount”,在控制台左侧显示证书树在窗体列表中,选择“个人”->“证书”,右击,选择“所有任务”->“导入”,导入PFX文件根据“证书导入向导”的提示(这个过程中有一个很重要的步骤:“自动选择基于证书内容存储”)刷新以查看证书。2.为站点分配证书,打开IIS->目录安全->服务器证书->分配现有证书->指定访问端口为4433,重启站点IIS7/81,导入证书(和IIS6step2、站点分发证书,选择“绑定”->“添加”->“类型选择https”->“端口443”->“ssl证书(选择导入的证书名称)”->“确定”3.如果遇到Thehostnamecannotbeset,请打开C:Windowssystem32inetsrvconfigapplicationHost.config,手动修改4.重启站点后通过https://hostname访问,可以成功加载证书,则证书安装成功在服务器上,通过上面的设置跳转相信你的网站应该是以https://domainhost的形式可以访问的,但是细心的朋友可能已经发现,这个时候网站是http和https都可以访问的,这个需要设置跳转,让HTTP请求通过301重定向到https。同样,我们用不同类型的Web服务来说明。Nginxserver{listen80;server_name你的域名;return301https://$server_name$request_uri;}Apachenew.htaccessRewriteEngineOnRewriteCond%{SERVER_PORT}80RewriteRule^(.*)$https://%{HTTP_HOST}/$1[R,L] Tomcat在conf/web.xml>ClientCertUsers中添加
