为网站部署SSL证书是每一个网络运营者对于网络安全应尽的责任和义务。作为互联网安全产品中的一种，SSL证书能验证网站身份，对数据进行加密传输。但是，由于网络安全意识不强，部分企业为了节约成本，选择不做或者使用免费的自签名SSL证书。

在互联网时代，拒绝为网站部署SSL证书的行为是绝对错误的。网站在没有保护的情况下，极易被黑客攻击，导致大量隐私数据泄漏，严重影响网络安全防护体系的建设。那如果使用免费的自签名SSL证书又会怎样呢?

提及免费自签名SSL证书，网络上可申请到的方式有很多。这些平台能提供的免费SSL证书大都是DV证书，免费期限多为一年或一年以内，到期后需要主动续签。若是疏忽忘记更新，会导致证书过期，从而为企业带来利益和品牌的双重损失。当然，因为权威机构出具的SSL证书申请过程繁琐且周期较长，成本较高，续签的SSL证书一般也不会很便宜。

其实，SSL证书一般分为DV SSL、OV SSL和EV SSL三种。因验证级别不同价格也各异，各个网络运营者可以根据自身网站的类型选择安装。

DV SSL证书，即域名型(基础型)SSL证书，签发速度快，能够保证信息传输安全，价格便宜，对于个人网站是一个不错的选择。但是，对于企事业单位和银行系统、金融机构、电商平台等，由于对网络安全要求较高，使用免费的DV SSL证书显然是不合适的。

目前，由于免费的DV SSL证书过于泛滥，许多欺诈网站也都开始部署以骗取用户的隐私信息。市场上存在的不验证网站实体身份，而只验证域名所有权的DV SSL证书，当欺诈网站部署后，也可能有 https:// 安全锁标志。所以，当我们在看到网站有安全锁标志的时候不能简单地直接认为它就是可信网站。

安全锁标志只能保证信息是加密传输的，还应该通过查看该证书是什么类型的证书，以此判断此网站上显示的确实是现实世界中的某个公司。

随着互联网的快速发展，为了确保技术人员采用最新加密标准的SSL证书保护网站安全性，减少证书被盗用的风险，SSL证书的寿命正在逐渐缩短。最早的证书寿命是8年，后来慢慢缩短为5年、3年、2年。从 2020 年 9 月 1 日开始，苹果、谷歌、Mozilla 的浏览器和设备将对有效期超过 398 天的新SSL证书显示错误。

这就意味着，企业需要每年进行一次证书申请。合同到期后，很多企业因为专业人才缺乏，可能会忘记或不知道该如何申请，建议寻找有专业顾问提供一对一提醒服务，并可协助用户准备申请材料，能有效规避因证书过期而产生的资金流失、品牌受损等后果，让用户省时省力又省心。

Windows 2008及更早的版本不支持TLS1_2协议 所以无法调整 ！

服务器Windows 2008均是R2的TLS1_2协议默认是关闭的 需要手动启用。

导入证书后没有对协议及套件做任何的调整。证书导入后检测到套件是支持ATS需求的，但协议TLS1_2没有被启用，ATS需要TLS1_2的支持。

虽然域名已经加上了ssl，但TLS 1.2 提示不显示，TLS 1.0 或 TLS 1.1，这两个 TLS 版本都已过时。

如图：

可使用的ssltools工具：ssltools工具 （点击下载）

勾选三个TLS协议并重启系统即可。
如果检查到PFS不支持，在加密套件中选中带ECDHE和DHE就可以了。

移动SSL证书分为两个部分。

首先，您将需要在旧服务器上导出证书。然后，您将需要将证书导入到新服务器。

以下是这两个步骤的详细过程描述：

这是导出到现有服务器上的证书应遵循的步骤：

1）转到开始->运行并输入MMC 

2）从菜单栏中，选择控制台->添加删除管理单元

3）单击“添加”按钮。选择“证书”管理单元，然后再次单击“添加”。

4）选择“计算机帐户”。点击下一步。

5）选择“本地计算机”，单击“完成”。

6）现在，单击“关闭”，然后单击“确定”。

7）现在，在MMC中展开“证书”对象，然后向下钻取至“个人”->“证书”。

8）您应该看到您现有的证书。列出。右键单击证书，然后转到“所有任务”->“导出”。

9）选择“是，导出私钥”。点击下一步”。

10）在下一个屏幕上，保留默认设置，然后单击“下一步”。

11）输入密码以保护导出的证书。点击下一步。

12）输入文件名。证书将导出到该文件名。点击下一步。

13）单击完成。在目标服务器上，请按照以下步骤操作：

1）将导出的文件复制到新服务器上2）请按照上面概述的步骤1-7进行操作3）

右键单击certificiates文件夹，然后选择“所有任务->导入” 4）单击下一步。浏览到在步骤1中复制的文件。单击“下一步”。5）输入在上面的步骤11中输入的密码。选中“将私钥标记为可导出”框。单击“下一步”。6）您要将证书放入“个人存储”中-默认情况下处于选中状态。点击下一步。7）单击完成。8）现在，您将需要进入IIS并将SSL证书分配给该站点。

1.登录到服务器后，打开IIS管理器。您可以通过单击Windows“开始”按钮，然后在搜索框中输入“ inetmgr”来执行此操作。然后按Enter。
2.单击服务器名称。
3.在“功能视图”中，双击“服务器证书”。
4.在“操作”窗格中，单击“导入”。
5.在导入证书对话框中，完成以下步骤：
一。在“证书文件”字段中输入文件名，或单击浏览按钮导航到导出的证书所在的文件名。
b。如果证书是使用密码导出的，请输入密码。
C。如果希望以后可以导出证书，请选择“允许导出此证书”。

1.登录到服务器后，打开IIS管理器。您可以通过单击Windows“开始”按钮，然后在搜索框中输入“ inetmgr”来执行此操作。然后按Enter。
2.单击服务器名称。
3.在“功能”视图上，双击“服务器证书”。
4.在“操作”窗格上，单击“创建证书申请...”
。5.为证书申请填写以下信息：
 一种。通用名称：在此处输入要保护的域名。大多数证书只能用于一个域名和一个前缀。例如，在“ www.example.com”中，其中“ example.com”是您的域名，“ www”是前缀。b。组织：输入拥有域名的组织名称，该域名是在注册商处指定的。请不要使用缩写或逗号。C。组织单位：输入公司内与SSL页面互动最多的部门的名称。d。城市/州/国家/地区：输入商家所在的位置。请勿对State使用任何缩写。
6.单击“下一步”。
7.保留密码服务提供程序（Microsoft RSA SChannel密码提供程序）和位长度（1024）的默认值，然后单击“下一步”。
8.输入证书文件框的文件名，或单击浏览按钮[...]选择要保存请求文件的位置。
9.单击“完成”。生成CSR密钥并将其保存在文件中（在步骤8中选择的位置）。从提供商处订购SSL证书时，需要使用此密钥

1.登录到服务器后，打开IIS管理器。您可以通过单击Windows“开始”按钮，然后在搜索框中输入“ inetmgr”来执行此操作。然后按Enter。2.在“连接”窗格上，展开“站点”节点，然后单击要向其添加SSL的站点。
3.在“操作”窗格上，单击“绑定”。
4.在“站点绑定”对话框中，单击“添加”。
5.将类型更改为“ https”。
6.使用为HTTP绑定设置的IP。
7.将端口设置为443（一旦将协议设置为https，端口443将自动填充）。
8.选择您导入的SSL证书。
9.单击“确定”。

一、Apache安装SSL证书需要三个证书文件

温馨提示：安装证书前请先备份您需要修改的服务器配置文件

配置文档以域名zzqidc.com为例

zzqidc.com-ca-bundle.crt、zzqidc.com.crt、zzqidc.com.key。

注：这三个文件在文件夹for Apache.zip中,其中zzqidc.com是您的域名，zzqidc.com.crt为公钥，zzqidc.com.key为私钥,zzqidc.com-ca-bundle.crt为中间证书。(文件后缀名crt和cer的性质是一样的)

二、安装证书

1.修改apache下的httpd.conf文件。
（1）打开apache安装目录下conf目录中的httpd.conf文件，找到   
      #LoadModule ssl_module modules/mod_ssl.so  
（2）删除行首的配置语句注释符号“#”，保存退出。
2.修改网站配置文件。
（1）找到apache安装目录conf/vhost/下的网站配置文件zzqidc.com.conf(网站配置文件名一般为域名 .conf)，打开配置文件.复制配置文件内容,粘贴致原内容下方.如下:



   DocumentRoot "D:\WWW\"

   ServerName zzqidc.com

   <directory "d:\www\"="">

    Options -Indexes FollowSymLinks

    AllowOverride all

    Order allow,deny

    Allow from all

   







  DocumentRoot "D:\WWW\"

  ServerName zzqidc.com

 <directory "d:\www\"="">

    Options -Indexes FollowSymLinks

    AllowOverride all

    Order allow,deny

    Allow from all

   









(2) 修改配置文件zzqidc.com.conf



   DocumentRoot "D:\WWW\"

   ServerName zzqidc.com

   <directory "d:\www\"="">

      Options -Indexes FollowSymLinks

      AllowOverride all

      Order allow,deny

      Allow from all

   



Listen 443



  DocumentRoot "D:\WWW\"

  ServerName zzqidc.com

  SSLEngine on

SSLCertificateFile "D:\apache\ssl\zzqidc.com.crt"    

#公钥路径

SSLCertificateKeyFile "D:\apache\ssl\zzqidc.com.key"  

#私钥路径

SSLCertificateChainFile "D:\apache\ssl\zzqidc.com-ca-bundle.crt"

#中间证书路径

<directory "d:\www\"="">

     Options -Indexes FollowSymLinks

     AllowOverride all

     Order allow,deny

     Allow from all

 





(2）保存退出，并重启Apache。   


(3) 防火墙开启443端口



(4)通过https方式访问您的站点，测试站点证书的安装配置。



三.本地测试
  1.如果本地测试，请做本地解析访问：打开 系统盘C:\Windows\System32\Drivers\etc\hosts文件，用文本编辑器修改，把证书绑定的域名解析到本地ip。

图5.jpg
  2.访问https：// 证书绑定的域名，测试效果如下：

图6.jpg


注：部署完毕后若网站无法通过https正常访问，可确认服务器443端口是否开启或被网站卫士等加速工具拦截。
  （1）开启方法：防火墙设置-例外端口-添加443端口（TCP）。
  （2）若被安全或加速工具拦截，可以在拦截记录中将443添加至信任列表。
重启后，重新通过https访问。

四.安装安全签章

全球可信网站安全认证签章为动态显示的标识(含网站访问时实时时间)，不是静态图片，不可复制和不可假冒，只能在通过认证的网站使用。点击认证标识，可以显示此网站拥有者的认证信息，否则，就不是合法使用认证标识。目前该认证签章支持OV级以上证书使用，您购买了景安SSL证书后，将免费获得一个能直观地显示贵网站的认证信息的可信网站安全认证标识，能大大增强用户的在线信任，促成更多在线交易。所以，建议您在安装成功SSL证书后，马上在网站的首页和其他页面中添加如下代码动态显示可信网站安全认证标识。

安装中文签章


如果您希望在中文页面显示认证标识，则在中文页面添加如下代码：

 


图片1.jpgEV国际认证.jpgOV 数据加密.jpgoV国际签章.jpg

安装英文签章


如果您希望在中文页面显示认证标识，则在英文页面添加如下代码：



EV 英文数据加密.jpgEV英文国际.jpg图片19.pngoV英文国际认证.jpg


五.SSL证书的备份

请保存好收到的证书压缩包文件及密码，以防丢失。

一、安装证书

(温馨提示：安装证书前请先备份您需要修改的服务器配置文件)

1.确认证书文件及证书路径。
  例证书文件为：zzidc.com.jks,放置目录为Tomcat的conf目录下。
  2.配置server.xml文件。
  打开conf目录下的server.xml文件，找到并修改以下内容：

  去掉注释并修改为：

< Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"

              maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

              keystoreFile="keystore/SSL.jks"  keystorePass="证书密码"

              clientAuth="false" sslEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2"

              ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,

                              TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

                              TLS_RSA_WITH_AES_128_CBC_SHA256,

                              TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,

                              TLS_RSA_WITH_3DES_EDE_CBC_SHA,

                              TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

  例：

图片6.png

3.本地测试访问。
如果本地测试，请做本地解析访问：打开C:\Windows\System32\Drivers\etc\hosts文件，用文本编辑器修    改，把证书绑定的域名解析到本地ip。

图片7.png

4.完成配置后的效果。
启动tomcat，访问https：// 证书绑定的域名：

图片8.png



注：部署完毕后若网站无法通过https正常访问，可确认服务器443端口是否开启或被网站卫士等加速工具拦截。

（1）开启方法：防火墙设置-例外端口-添加443端口（TCP）。

（2）若被安全或加速工具拦截，可以在拦截记录中将443添加至信任列表。

重启后，重新通过https访问。


如果您的tomcat使用第2步配置无效.请使用以下配置:

              maxThreads="150" SSLEnabled="true" 
              keystoreFile="D:/tomcat.jks" keystorePass="123456"
              >
       
   




二、SSL证书的备份
请保存好收到的证书压缩包文件及密码，以防丢失

一.Nginx安装SSL证书需要两个配置文件

(温馨提示：安装证书前请先备份您需要修改的服务器配置文件)

1_root_bundle.crt、 2_domainname.com.key。注：这三个证书文件都在文件夹for Nginx.zip中,例：1_root_bundle.crt是根证书链(公钥)，2_ domainname.com.key为私钥。

(其中：证书公钥、私钥文件一般以您的域名命名；证书后缀名crt和cer的性质是一样的)。


二.Nginx安装证书

1.打开Nginx安装目录下conf目录中的nginx.conf文件 
找到：
  # HTTPS server 
   # 
   #server { 
   #    listen       443; 
   #    server_name  localhost; 
   #    ssl            on; 
   #    ssl_certificate      cert.pem; 
   #    ssl_certificate_key  cert.key; 
   #    ssl_session_timeout  5m; 
   #    ssl_protocols  SSLv2 SSLv3 TLSv1; 
   #    ssl_ciphers  ALL:!ADH:!EXPORT56:RC4 RSA: HIGH: MEDIUM: LOW: SSLv2: EXP; 
   #    ssl_prefer_server_ciphers   on; 
   #    location / { 
   #        root   html; 
   #        index  index.html index.htm; 
   #    } 
   #} 
将其修改为 :
server { 
       listen       443; 
       server_name  localhost; 
       ssl                  on; 
       ssl_certificate      1_root_bundle.crt;      （证书公钥）
       ssl_certificate_key      2_ domainname.com.key;      （证书私钥）
       ssl_session_timeout  5m; 
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
       ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4: HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;

       ssl_prefer_server_ciphers   on; 
       location / { 
           root   html; 
           index  index.html index.htm; 
       } 

注：配置完成后的网站路径及默认页等配置请与80端口保持一致。

2.本地测试访问。
如果本地测试，请做本地解析访问：打开  系统盘:\Windows\System32\Drivers\etc\hosts 文件，用文本编辑器修改，把证书绑定的域名解析到本地ip。

图片4.png

3.完成配置后的效果。
启动nginx，访问https：// 证书绑定的域名

图片5.png

注：部署完毕后若网站无法通过https正常访问，可确认服务器443端口是否开启或被网站卫士等加速工具拦截。
（1）开启方法：防火墙设置-例外端口-添加443端口（TCP）。
（2）若被安全或加速工具拦截，可以在拦截记录中将443添加至信任列表。
重启后，重新通过https访问。

三.SSL证书的备份
请保存好收到的证书压缩包文件及密码，以防丢失。

一、部署证书后安全锁不正常显示

     有些小伙伴安装过SSL证书后，会发现https安全锁显示不正常，对于小白小伙伴们不知道原因在哪，更不知道怎么解决，下面就来看看出现这样的原因和解决办法吧：
第一种提示：浏览器提示不安全因素

（不同浏览器会出现不同的提示办法，解决办法见“二、解决网站”不安全因素“的方法”

提示的原因：用户网站中却使用了大量的外链，而SSL证书对于网站的代码安全性要求比较高的，用了这些外部的资源（图片或js）正是不安全的因素所在，因此用户在部署SSL证书后需要对网站代码进行调整，这样才能保障网站的安全；在部署SSL证书后，通过https访问网站时，就会出现以下提示：

1.IE浏览器提示

IE浏览器底部会提示“只显示安全内容”。


2.火狐浏览器提示不安全内容

火狐浏览器底部会提示“此网站的连接的安全，因为包含了不安全的因素”。



3.360、谷歌等浏览器提示不安全内容：安全锁为黄色三角警告

      谷歌浏览器中锁型标识会显示异常，并提示：与www.yourdomain.com的连接采用128/256位加密技术。但是，此页面中包含其他不安全的资源。他人能在传输过程中查看这些资源，攻击者也可以进行修改，从而改变网页的外观。




第二种提示：https直接提示“安全锁红色叉号”（下图所示）


出现图上情况，造成的原因有：

1.使用的证书到期，需及时更新有效证书即可；

2.使用自签证书，自签证书即自建PKI系统颁发的SSL证书，自签证书最容易被假冒和伪造，被欺诈网站所利用，也最容易受SSL中间人攻击，是非常不安全的（点此查看详情），为了保障网站数据安全，请尽早使用正规单位颁发的SSL证书。

21.png

3.绑定域名与访问域名不一致（点击https小锁，查看证书详细，证书里显示的域名），解决办法：可向正规证书单位，再申请一张证书即可，证书颁发后，删除不匹配证书，重新安装新的匹配证书；

4.本地时间不同步等，可直接同步本地时间；出现以上情况，可根据相对应的调整即可。

二、解决网站”不安全因素“的方法：
     弹出这些不安全因素的提示是由于网站页面上包含混合内容导致的，也就是说，网站页面上包含 http:// 的资源 也包含 https:// 的资源。通常这种情况是需要在网站页面上做一些调整才能去除提示。以下是常用的解决方法：
例如：在网站页面文件中，包含了其他网站非https的资源。(可以通过谷歌浏览器按F12键查看)