發布時間:2019-04-02 13:27:58 訪問:1719 作者:
之前給大(dà)家介紹過什麽是http和https,以及他們之間有什麽區别(詳見:http和https有什麽區别?網站有沒有必要啓用https?)。相信很多看過介紹的小(xiǎo)夥伴,對http和https各自的優缺點應該有了一(yī)定的了解。今天,給大(dà)家介紹如何把網站從http轉換成https站點。需要把網站轉換成https訪問形式的朋友,可以作爲參考。
這裏還是先簡單的給大(dà)家介紹一(yī)下(xià)https的優點,不然,很多第一(yī)次聽(tīng)說https的小(xiǎo)夥伴可能會疑惑我(wǒ)(wǒ)們的網站爲什麽要部署https。首先https是網絡數據傳輸協議,也就是說www的網站在傳輸數據的時候,都必須遵守這個協議,遵守統一(yī)的标準的協議,有利于數據更好的傳送,而https則可以理解爲是http的升級版或者安全版本。
https的有點如下(xià):
1、部署https的網站更安全。
http是明文傳送數據,不安全。也就是說,在傳送數據的時候是明文的,沒有經過加密,如果黑客一(yī)旦截獲了這種明文數據,用戶的隐私就很有可能暴露,如:賬号、密碼等。而https在傳送數據的時候會對數據進行加密,就算黑客截獲了數據也是加密後的數據。如果黑客通過技術進行破解,會花費(fèi)更多的時間和技術成本。因此,https加密數據可以大(dà)大(dà)降低用戶隐私洩露的風險,增加數據傳輸的安全性。
2、https可以降低網站被劫持、被鏡像的風險。
http網站是無狀态的,在傳送數據的時候也沒有對數據進行任何形式的加密,更不會對客戶端和服務器進行反複的驗證。這樣在傳送數據的時候,很可能被黑客利用,通過域名劫持等技術手段返回虛假的網站或數據給客戶端。造成用戶隐私洩露或财産損失。
而https采用了ssl安全機制進行通信,以數字證書(shū)爲基礎,在數據傳送的過程會對客戶端和浏覽器進行反複的驗證,确保通過域名可以訪問到你想要訪問的那台服務器,從而大(dà)大(dà)減少網站被劫持、被鏡像的風險。https原理如下(xià):客戶端訪問服務器->服務器把數字證書(shū)+公用密匙 發給客戶端->客戶端驗證服務器,确保訪問的是正确的服務器(不是釣魚網站)->客戶端生(shēng)産會話(huà)密匙并用公用密匙進行加密再次發給服務器->服務器用私人密匙進行解密(也就相當于驗證客戶端),驗證成功建立起一(yī)條安全的數據傳遞通道->服務器把客戶端請求的數據打包加密發送給客戶端->客戶端浏覽器接收數據并解析。如果客戶端再次請求數據,則重複上述步驟。這種重複驗證的方式,确保通過域名可以訪問到正确的服務器,從而大(dà)大(dà)降低網站被劫持、被鏡像的風險。
服務器把數字證書(shū)+公用密匙 發給客戶端->客戶端驗證服務器,确保訪問的是正确的服務器(不是釣魚網站)->客戶端生(shēng)産會話(huà)密匙并用公用密匙進行加密再次發給服務器->服務器用私人密匙進行解密(也就相當于驗證客戶端),驗證成功建立起一(yī)條安全的數據傳遞通道->服務器把客戶端請求的數據打包加密發送給客戶端->客戶端浏覽器接收數據并解析。如果客戶端再次請求數據,則重複上述步驟。這種重複驗證的方式,确保通過域名可以訪問到正确的服務器,從而大(dà)大(dà)降低網站被劫持、被鏡像的風險。
客戶端驗證服務器,确保訪問的是正确的服務器(不是釣魚網站)->客戶端生(shēng)産會話(huà)密匙并用公用密匙進行加密再次發給服務器->服務器用私人密匙進行解密(也就相當于驗證客戶端),驗證成功建立起一(yī)條安全的數據傳遞通道->服務器把客戶端請求的數據打包加密發送給客戶端->客戶端浏覽器接收數據并解析。如果客戶端再次請求數據,則重複上述步驟。這種重複驗證的方式,确保通過域名可以訪問到正确的服務器,從而大(dà)大(dà)降低網站被劫持、被鏡像的風險。
客戶端生(shēng)産會話(huà)密匙并用公用密匙進行加密再次發給服務器->服務器用私人密匙進行解密(也就相當于驗證客戶端),驗證成功建立起一(yī)條安全的數據傳遞通道->服務器把客戶端請求的數據打包加密發送給客戶端->客戶端浏覽器接收數據并解析。如果客戶端再次請求數據,則重複上述步驟。這種重複驗證的方式,确保通過域名可以訪問到正确的服務器,從而大(dà)大(dà)降低網站被劫持、被鏡像的風險。
服務器用私人密匙進行解密(也就相當于驗證客戶端),驗證成功建立起一(yī)條安全的數據傳遞通道->服務器把客戶端請求的數據打包加密發送給客戶端->客戶端浏覽器接收數據并解析。如果客戶端再次請求數據,則重複上述步驟。這種重複驗證的方式,确保通過域名可以訪問到正确的服務器,從而大(dà)大(dà)降低網站被劫持、被鏡像的風險。
服務器把客戶端請求的數據打包加密發送給客戶端->客戶端浏覽器接收數據并解析。如果客戶端再次請求數據,則重複上述步驟。這種重複驗證的方式,确保通過域名可以訪問到正确的服務器,從而大(dà)大(dà)降低網站被劫持、被鏡像的風險。
客戶端浏覽器接收數據并解析。如果客戶端再次請求數據,則重複上述步驟。這種重複驗證的方式,确保通過域名可以訪問到正确的服務器,從而大(dà)大(dà)降低網站被劫持、被鏡像的風險。
3、部署https可以提高用戶體(tǐ)驗。
https部署成功的網站,在浏覽器的訪問地址欄會顯示一(yī)個帶有安全标識的一(yī)個綠色的小(xiǎo)鎖,這樣可以提高用戶對這個網站的信任度及用戶體(tǐ)驗。
我(wǒ)(wǒ)們該如何部署https?
1、申請ssl證書(shū)。
https是以ssl證書(shū)爲基礎,網站要想部署https,就必須爲網站服務器申請一(yī)個ssl證書(shū)。這裏提醒大(dà)家一(yī)下(xià),有的服務器支持ssl證書(shū),有的則不支持。部分(fēn)虛機目前可能不支持ssl證書(shū)的部署。
申請ssl證書(shū)的步驟如下(xià):
①CSR文件制作:申請ssl證書(shū)之前,需要制作CSR文件,CSR,Certificate Signing Request,是制作ssl 證書(shū)的必要步驟。一(yī)個 CSR 文件中(zhōng)描述了 ssl 證書(shū)持有人的信息(如個人姓名或公司名稱)、聯系地址等,用于驗證 ssl 證書(shū)和域名是同一(yī)個人持有,以确保網站的合法性。制作完成後向 ssl 證書(shū)提供商(shāng)上傳這個文件,以獲得最終的 ssl 證書(shū)。
②CA認證證書(shū)申請:将CSR提交給CA,CA一(yī)般有2種認證方式:
1)域名認證:一(yī)般通過對管理員(yuán)郵箱認證的方式,這種方式認證速度快,但是簽發的證書(shū)中(zhōng)沒有企業的名稱;
2)企業文檔認證:需要提供企業的營業執照。
也有需要同時認證以上2種方式的證書(shū),叫EV ssl證書(shū),這種證書(shū)可以使IE7以上的浏覽器地址欄變成綠色,所以認證也最嚴格。
2、安裝證書(shū)。
在收到CA的證書(shū)後,可以将證書(shū)部署上服務器,一(yī)般APACHE文件直接将KEY+CER複制到文件上,然後修改httpD.CONF文件;TOMCAT等,需要将CA簽發的證書(shū)CER文件導入JKS文件後,複制上服務器,然後修改SERVER.XML;IIS需要處理挂起的請求,将CER文件導入。這裏不會的小(xiǎo)夥伴,可以詢問你們的技術,讓技術人員(yuán)提供技術支持。
3、整改網站鏈接
ssl證書(shū)安裝成功後,你的服務器就支持https了。這時我(wǒ)(wǒ)們要把自己網站上的全部鏈接修改成https的形式。例如,之前我(wǒ)(wǒ)們的首頁鏈接是:http://www.***.com/,則需要修改成 https://www.***.com/的形式。記着,是網站上的全部鏈接都需要修改,不要漏了。
4、全站做301轉向
網站鏈接整改以後,要做全站301跳轉。這樣可以大(dà)大(dà)減少網站權重的流失,讓百度更快、更好的抓取新的鏈接來替換舊(jiù)的鏈接,同時讓新鏈接更快的恢複權重與排名。具體(tǐ)的301全站跳轉如何實現,大(dà)家可以自己百度一(yī)下(xià),網上一(yī)大(dà)堆。實在不會的,可以問問你們的技術。
5、告訴百度抓取新連接替換舊(jiù)鏈接。
理論上我(wǒ)(wǒ)們修改過鏈接後,百度蜘蛛會自動抓取識别新的鏈接形式,用于替換舊(jiù)的鏈接。但是,這樣可能會延長周期。我(wǒ)(wǒ)們可以使用百度搜索資(zī)源平台提供的https認證功能進行認證,讓百度更好的抓取、展現我(wǒ)(wǒ)們的https頁面。
上一(yī)篇:沒有了
下(xià)一(yī)篇:雲服務器與獨立服務器對比區别
版權所有:金華諾普視信息技術研究所有限公司 備案号: