https:// 化,SSL/TLS 全球知名数字证书颁发机构

SSL 证书就是遵守 SSL 协议,由受信任的数字证书颁发机构 CA(Certificate Authority),在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。

SSL 证书名单

DigiCert CA
// 全球知名 SSL 证书 CA

GlobalSign CA
// 全球知名 SSL 证书 CA

Geotrust CA
// 全球知名 SSL 证书 CA

Comodo CA
// 更名为 Sectigo

GoDaddy CA
// 同时提供域名注册与虚拟主机的 CA

Symantec CA
// 已被 DigiCert 收购

Verisign CA
// 已被 Symantec 收购

TrustAsia CA
// 由 DigiCert 根证书

Entrust CA

Certum CA

 

国内三大 CA

中国金融认证中心(CFCA)
中国金融认证中心(China Financial Certification Authority)是经中国人民银行和国家信息安全管理机构批准成立的国家级权威安全认证机构,是国家重要的金融信息安全基础设施之一。

沃通电子认证服务有限公司(沃通 CA)
沃通(WoSign)是一家获得由工信部颁发的电子认证服务许可证和通过国际认证的全球信任的证书颁发机构 (CA),已为全球 140 多个国家和地区的十几万个网站颁发了全球信任的 SSL 证书。

上海数字认证中心(上海 CA)
SHECA 是网络安全和信任服务提供商,从事信息安全技术认证和安全信任服务以及相关产品的研发和整合,为客户提供信息安全整体解决方案与第三方服务。

DV SSL:域名验证型 SSL(Domain Validation SSL)
信任等级普通,只需验证网站的真实性便可颁发证书保护网站;
即证书颁布机构只对域名的所有者进行在线检查,通常是验证域名下某个指定文件的内容,或者验证与域名相关的某条 TXT 记录;通过 DNS 解析验证即可通过审核。

OV SSL:机构验证型 SSL(Organization Validation SSL)
信任等级强,须要验证企业的身份,审核严格,安全性更高;
购买者提交组织机构资料和单位授权信等在官方注册的凭证,证书颁发机构在签发 SSL 证书前不仅仅要检验域名所有权,还必须对这些资料的真实合法性进行多方查验,只有通过验证的才能颁发 SSL 证书。

EV SSL:扩展验证型 SSL(Extended Validation SSL)
信任等级最高,普遍用于银行证券等金融机构,审核严格,安全性最高,同时可以激活绿色网址栏。
EV SSL 与其他 SSL 证书一样,都是基于 SSL/TLS 安全协议,但是验证流程更加具体详细,验证步骤更多,EV SSL 证书所绑定的网站就更加的可靠、可信,浏览器绿色安全地址栏。

* SSL(Secure Sockets Layer,安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。

加密强度
分别为 40 位、56 位、128 位、256 位等
目前常用浏览器(如:IE6、IE7、IE8、火狐 3 等)都支持 128 位加密,只有 0.2% 用户仍然在使用不支持 128 位加密的不安全的低版本浏览器。

身份验证级别
Class 1:一级,只验证 Email;
Class 2:二级,验证 Email 和验证个人身份证明文件;
Class 3:三级,验证 Email、验证单位身份验证文件、第三方数据库核实;
Class 4:四级,全球统一标准的扩展验证标准,验证 Email、验证单位身份证明文件、验证申请人身份证明文件、第三方数据库核实。

 

使用第三方 SSL 配置工具时关闭默认 ssl.conf 配置

默认的 /etc/httpd/conf.d/ssl.conf 配置文件的内容:

<VirtualHost _default_:443>
......
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
......
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
......
</VirtualHost>

这里指定的证书与第三方工具签发的证书存在冲突。加密访问服务器 example.com 域名的时候,第一个出现的配置被使用,根本轮不到使用第三方工具签发的证书 example.com.crt,于是导致问题。
解决方法是要么注释掉或删除上面文件中的这两行,要么将其后面的 crt 和 key 文件改成主域名使用的证书文件。
如果配置 SSL 并未出现异常可不用修改以下配置。

HTTPS 证书配置

#
# HTTPS server configuration 
# 配置文件默认位于 [root@hexingxing conf.d]# pwd
# /etc/nginx/conf.d
#

server {
listen 443;
ssl on;
server_name  yourname.com; #指向服务器的域名
root         /yourdir/httpfile; #网页文件存放在位置
index index.php index.html index.htm;
ssl_certificate   /etc/nginx/sslkey/yourpemcode.pem; #cert.pem 文件,注意文件的位置
ssl_certificate_key  /etc/nginx/sslkey/yourkeycode.key; #cert.key 文件,注意文件的位置
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;
ssl_prefer_server_ciphers on;
location / {
root /yourdir/httpfile; #网页文件存放在位置
index index.php index.html index.htm;
}



    # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
    location ~ \.php$ {
        root           html;
        fastcgi_pass   127.0.0.1:9000;
        fastcgi_index  index.php;
        #fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
        fastcgi_param  SCRIPT_FILENAME  /yourdir/httpfile$fastcgi_script_name; #网页文件存放在位置
        include        fastcgi_params;
    }

}

#
#    error_page 404 /404.html;
#        location = /40x.html {
#    }
#
#    error_page 500 502 503 504 /50x.html;
#        location = /50x.html {
#    }
#}