隨著移動網際網路,網銀支付等等的普及,越來越多的應用開始重視私密性和安全性,最常見的就是把原有基於明文傳輸的http調整為加密的https方式;實現這種方式的最常用的手段也是購置第三方發布的網域名稱證書,部署到後台每台伺服器上。
但是ssl的加密/解密是最消耗伺服器資源的應用,http到https部署後很可能會發現伺服器的效能和處理能力大幅下降;而專用的應用交付裝置通常內建硬體的ssl加速卡,可以高效的處理ssl加密流量。乙個簡單的對比動畫圖如下:
https加速/ssl解除安裝的目的和用途
將在伺服器上的證書加解密的功能遷移到負載均衡裝置上
主要優勢有
證書的種類
客戶需要向提供證書的第三方機構申請,例如
geotrust
, verisign
, thawte
等授權證書機構
證書簡單的區分有
2種分類方式
收到的證書是什麼樣子的
以geotrust
為例;證書通常通過郵件**的;通常包括
**證書; 中級證書和交叉證書;
另外還有證書的金鑰
key(請妥善管理金鑰,這是非常機密的重要檔案)
如何將證書匯入到應用交付裝置中
每個應用交付裝置的具體配置方式可能不同,此處以a10網路的ax裝置為例
證書檔案的準備
使用文字編輯器,例如
ultraedit 1
:將金鑰檔案儲存為
key.pem 2
:**ssl
證書儲存為
cert.pem 3
:將交叉證書和中級證書儲存於同乙個檔案中,例如
cert-chain.pem
注意交叉證書先;中級證書後
證書檔案的匯入
在a10裝置的配置模式中, 在服務》ssl管理中 分別匯入上一部定義的3個檔案:
匯入證書cert.pem並根據需求命名,例如mail2012
匯入證書鏈cert-chain.pem並根據需求命名,例如mail2012-chain
匯入私鑰key.pem並根據需求命名,例如mail2012-key
至此證書匯入完畢。
證書檔案的配置和應用
在證書準備完畢後,需要將其關連配置後再啟用;
首先建立終端的ssl模板,在配置模式》服務》模板中
最後一步,即將配置的終端ssl模板應用於提**用的vip埠下,通常為443埠,注意埠型別選擇為https
至此配置結束。
啟用證書後的功能驗證
配置結束後,在正式應用對外發布前,可以進行內部的測試驗證;
例如網域名稱為www.example.com在應用交付裝置上對應的vip 位址為1.1.1.1;那麼可以在dns發布前通過修改本機的hosts網域名稱解析先進行測試驗證後再對外發布;測試時瀏覽器不再提示非法的證書,基本就可以說明證書部署是成功的。
需要注意的是:在極個別的案例中,我們發現有使用者在應用層面(例如web伺服器的響應回報中)寫定了http的方式(例如下圖)
此時是有可能造成https訪問存在問題的,可以通過後台程式的修改;或者使用應用交付裝置的7層內容更替(例如a10裝置的aflex)功能在後台程式不變的情況下智慧型修改返回給使用者的內容來實現,這是題外話,我們以後再接著談。
tomcat 配置網域名稱和ssl證書
在tomcat上配置網域名稱和ssl證書,記錄一下 環境 阿里雲ecs centos 6.9 geotrust dv 證書 tomcat 7.0.92 1 在阿里雲 網域名稱解析 控制台,配置網域名稱dns解析 比如 二級網域名稱為 test.com 主機記錄 www 即為 www.test.com...
nginx和tomcat的 配置SSL證書
說明 證書可以使用阿里雲的免費證書 配置ssl便可使用https安全訪問 一 nginx server 重定向 server 二 tomcat 1.開啟 jdk 自帶的 keytool 所在目錄 bin。2.在當前開啟cmd 輸入一下命令 keytool genkeypair alias tomca...
免費SSL證書和付費SSL證書的區別
近年來,ssl證書的 已大幅下降,甚至有一些免費ssl證書,因此 可以輕鬆部署。那麼免費ssl證書和付費ssl證書有什麼區別呢?今天安信證書就和大家來 一下這個問題。免費ssl證書,顧名思義是免費提供的,免費提供ssl證書目的是為所有 提供https訪問許可權。付費ssl證書是由可信賴的證書頒發機構...