帮助文档

单域名与通配符SSL区别

一、单域名SSL

单域名SSL保护1个域名,分为二种情况;

1、使用顶级域名申请:比如在xunhupay使用顶级域名xunhupay.com申请,那么我们会附送www的,也就是xunhupay.com与www.xunhupay.com都可以使用这一个证书。

2、使用二级域名申请:比如使用api.xunhupay.com申请,那么只有api.xunhupay.com这个域名可以使用。

二、通配符SSL

保护申请域名下面的所有2级或者3级或者4级所有域名

比如:

1、你使用*.xunhupay.com申请的,那么xunhupay.com本身与www.xunhupay.com以及a.xunhupay.com、b.xunhupay.com、c.xunhupay.com、*.xunhupay.com也就是*可以表示任何字母都可以用无数量限制。

2、如果你使用*.wap.xunhupay.com那么a.wap.xunhupay.com、b.wap.xunhupay.com、c.wap.xunhupay.com、*.wap.xunhupay.com也就是*可以表示任何字母都可以用无数量限制。

也就说通配都是只通配一级,不是说你通配那么所有的2级3级都可以用的,阿里云腾讯云全网都没有这种通配所有的证书哦!


什么是DV OV EV SSL各有什么区别

我们通常所说的SSL安全证书,按照类型等级,依次从低到高,可分为:域名型(DV)、企业型(OV)、增强型(EV)

OV证书:企业型证书。安全性高,适用于政府组织、企业、教育机构等。签发时需要验证企业真实性,所以签发时间通常1-2工作日
DV证书:域名型证书。安全性一般,适用于小型网站、个人网站等。签发时只验证域名,通常1-2分钟就能签发成功。
EV证书:企业增强型证书。安全性最高,适用于大型企业、金融机构、银行等。签发时需要验证组织的法律状态、地址和运营情况的深入调查。EV证书适合于对安全性要求极高的企业、金融机构和电子商务平台。


宝塔面板怎么配置证书?

宝塔面板怎么配置证书


Nginx安装SSL证书?

证书签发以后请选择《下载证书(Nginx,Apache,iis,Other) 》 证书文件

解压后Nginx文件夹有两个文件:

fullchain.pem (服务器证书)
privkey.key(私钥文件)

环境检测,检测命令如下(测试nginx是否支持SSL)

nginx -V

如果有显示 –with-http_ssl_module 表示已编译openssl,支持安装ssl

如果没有安装请下载nginx源码重新编译

./configure --with-http_stub_status_module --with-http_ssl_module
make && make install

配置Nginx

server {
 listen 80;
 listen 443 ssl;
 server_name www.example.org example.org;

 ssl_protocols TLSv1.2 TLS1.3 TLSv1.1 TLSv1;
 ssl_certificate /etc/ssl/fullchain.pem;
 ssl_certificate_key /etc/ssl/privkey.key;
 ssl_prefer_server_ciphers on;
  ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:AES:CAMELLIA:ALL:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK';
 
 #自动跳转到HTTPS (可选)
 if ($server_port = 80) {
   rewrite ^(.*)$ https://$host$1 permanent;
 }
 
 location / {
   root /home/wwwroot;
   index index.php;
 }
}

以上配置仅供参考,其他参数请根据生产环境需要添加。

安装后重启nginx使其生效

service nginx restart #centos6
systemctl restart nginx #centos7

问题排查:

如果使用CDN(加速器),需要在CDN上面安装证书,国内免费加速的都不支持https

检查443端口是否启动   使用下面命令 netstat -apnt | grep 443    (如果没有启动检查配置文件或者端口是否冲突)

443端口如果已经启动,但不能访问,请检查防火墙(或者安全狗) ,允许443端口.

linux iptables使用下面命令:

iptables -A INPUT -p tcp -m tcp --dport https -j ACCEPT

注:部署方式方法有很多,可自行百度寻找适合符合自己环境的方法部署,证书文件都是通用的。


Apache 安装SSL证书?

证书签发以后请选择《下载证书(Nginx,Apache,iis,Other) 》 证书文件

解压后Apache文件夹有三个文件:

domain.crt(服务器证书)
privkey.key(私钥文件)
root_bundle.crt(根证书链)

下面介绍如何安装Apache. 首要条件就是 apache 已经安装了 mod_ssl.so 模块 。

检测方法使用以下命令:

httpd -M | grep mod_ssl

如果有显示 mod_ssl.so 表示已经安装了apache模块。

CentOS/Redhat安装mod_ssl.so

yum install mod_ssl

Debian/Ubuntu

sudo a2enmod ssl
sudo service apache2 restart

Apache SSL配置

Listen 443  (如果配置已经存在就不要加)
LoadModule ssl_module modules/mod_ssl.so (如果配置已经存在就不要加)
NameVirtualHost *:443 (非必须,配置多个SSL站点会需要)

<VirtualHost *:443>
ServerName www.example.org
ServerAlias example.org
DocumentRoot /var/www/html
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCertificateFile /etc/ssl/domain.crt
SSLCertificateKeyFile /etc/ssl/privkey.key 
SSLCertificateChainFile /etc/ssl/root_bundle.crt
</VirtualHost>

以上只是SSL配置范例,尽量不要直接应用于生产环境,请根据80端口的站点配置修改。
证书可以放在其他位置,没有强制要求
ServerName 和 ServerAlias 需要修改

配置完成重启Apache使其生效.

service httpd restart

使用https://example.org 测试是否可以访问。

问题排查:

如果使用CDN(加速器),需要在CDN上面安装证书,

检查443端口是否启动   使用下面命令 netstat -apnt | grep 443    (如果没有启动检查配置文件或者端口是否冲突)

443端口如果已经启动,但不能访问,请检查防火墙(或者安全狗) ,允许443端口.

linux iptables使用下面命令:

iptables -A INPUT -p tcp -m tcp --dport https -j ACCEPT

注:部署方式方法有很多,可自行百度寻找适合符合自己环境的方法部署,证书文件都是通用的。


证书部署后部分浏览器提示ERR_SSL_VERSION_OR_CIPHER_MISMATCH

比如在谷歌浏览器上显示如下:

这种问题一般出现在IIS环境上,解决办法如下:
去网址:https://www.nartac.com/Products/IISCrypto/Download

在服务器上下载这个软件

 

打开软件后直接点“Best Practices”,推荐设置,然后点“Apply”应用即可,要重启一下系统。


还有绑定https域名时,记得勾选上“需要服务器名称指示(N)”,这也是一个小坑,不勾选的话,只能绑定的是第一个绑定的SSL证书。

 


如何看待国际品牌和国内品牌证书?

在当前的互联网环境中,SSL证书是确保数据传输安全的关键工具。全球市场上,虽然大部分SSL证书由国外公司提供,但无论是国外还是国内的证书,只要是由可信的证书颁发机构(CA)颁发的,都是安全的。CA机构并不掌握密钥,因此数据的安全性是有保障的。

然而,在选择SSL证书时,消费者需要警惕市场上的一些误导信息。有些商家可能会声称他们的产品是“纯国产”的,以此吸引消费者。然而,仔细查看这些证书的根证书来源,你会发现很多所谓的国产证书实际上来自于国外的CA。除了CFCA(中国金融认证中心)外,其他声称为纯国产的SSL证书需要谨慎辨别,因为绝大部分可能只是贴牌产品。

虽然CFCA是国内知名的SSL证书提供商,但其价格相对较高,国外品牌价格也很亲民,这也是许多用户选择其他证书的原因。因此,在选择SSL证书时,重要的是关注其安全性和可信度,而不是一味追求所谓的“纯国产”。了解证书的根证书来源,选择值得信赖的颁发机构,才能确保数据传输的真正安全,避免上当受骗。