折腾,网站终于成功启用https连接(IIS)

  前几个月就考虑过启用https的事,但是由于要申请SSL证书比较麻烦,而且当时浏览器也不会太明显的提示http不安全,所以就暂时放下了。

  这几天得知,Chrome浏览器从2017年开始,会将所有http连接标记为不安全,虽然我这只是个博客,但是还是会让很多人觉得不放心,FireFox预计过不了多久也会跟进这个措施。但如果打开博客,看到下图的小绿锁,是不是觉得放心很多呢?

折腾,网站终于成功启用https连接(IIS) 网站公告 第1张

  其实除过这一方面,https的信息传输都经过加密,也更为安全,同时可以支持HTTP/2,未来有更好的性能。

 

  那么要开启https,首先需要一个SSL证书,若要实现小绿锁,自己给自己颁发的证书是不好做到的,还是第三方SSL证书机构比较靠谱,不过一般的SSL证书都比较贵,域名级别的最便宜也要1000多一年,企业级别的已经到5位数了。那么免费的呢?首先,之前的StartSSL和Wosign沃通,这两个慎重考虑,因为Mozilla已经提议,将这两个机构颁发的证书标记为不安全。

  最近比较火的免费SSL有Let's Encrypt:

  Let's Encrypt是国外一个公共的免费SSL项目,由 Linux 基金会托管,它的来头不小,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,目的就是向网站自动签发和管理免费证书,以便加速互联网由HTTP过渡到HTTPS。并且Let's Encrypt安装部署简单、方便,目前Cpanel、Oneinstack等面板都已经集成了Let's Encrypt一键申请安装,网上也有不少的利用Let's Encrypt开源的特性制作的在线免费SSL证书申请网站,总之Let's Encrypt得到大家的认可。

  比较麻烦的事,它的证书一次只有3个月的有效期,也就是每90天需要续期一次,好在网上有不少工具可以做到自动续期,这里就不说了。

  我本来是考虑这个的,但是在验证所有者时候,总是过不去,虽然把.加到MIME中了,但是还是不行,暂时放弃。

  后来发现,腾讯云和亚洲诚信合作推出了免费SSL(有效期一年),而且颁发速度快,步骤少,门槛低(腾讯云会员,且经过实名认证,不需要购买腾讯云产品),一年有效期时间长,而且如果你是腾讯云用户,甚至可以一键部署上去,所以我果断去试试。还有一个好处,不需要提前创建CSR,也不用在服务器端开启证书(CA)服务,就可以直接申请下来证书。

  连接:https://console.qcloud.com/ssl

折腾,网站终于成功启用https连接(IIS) 网站公告 第2张

  我这里是已经申请好的,新申请可以直接点申请证书。

  查看申请域名型证书型号,点击【确定】,现在除了左边的免费,右边的收费也一并列出。
折腾,网站终于成功启用https连接(IIS) 网站公告 第3张

 

  填写申请域名,注意不支持一级域名申请(例如qcloud.com),请填写例如www.qcloud.com,demo.test.qlcoud.com形式二级、三级等域名。
折腾,网站终于成功启用https连接(IIS) 网站公告 第4张

 

  证书默认支持收到DNS验证,验证方法可查看详情
折腾,网站终于成功启用https连接(IIS) 网站公告 第5张

 

  如果所申请域名成功添加云解析平台,可以支持自动DNS验证,验证方法可查看详情
折腾,网站终于成功启用https连接(IIS) 网站公告 第6张

 

  提交申请成功后弹窗提示如下,需要前往【证书详情页】获取CName记录添加解析:
折腾,网站终于成功启用https连接(IIS) 网站公告 第7张

  获取CName记录如Tips中显示,需要尽快成功添加解析,方可通过CA机构审核:
折腾,网站终于成功启用https连接(IIS) 网站公告 第8张

 

如遇到下图所示弹窗,是提交域名未通过CA机构安全审核,具体原因参考安全审核失败原因
折腾,网站终于成功启用https连接(IIS) 网站公告 第9张  

 

  通过后的证书详情如下,然后可以下载证书文件。

折腾,网站终于成功启用https连接(IIS) 网站公告 第10张

 

  最后就是将证书导入到服务器并开启https:

  以Windows Server 2012和IIS8.5为例:

3.1 获取证书

IIS文件夹内获得SSL证书文件 www.domain.com.pfx。

3.2 证书安装

1、打开IIS服务管理器,点击计算机名称,双击‘服务器证书’
折腾,网站终于成功启用https连接(IIS) 网站公告 第11张

2、双击打开服务器证书后,点击右则的导入
折腾,网站终于成功启用https连接(IIS) 网站公告 第12张

3、选择证书文件,如果输入申请证书时有填写私钥密码需要输入密码,点击确定。参考私钥密码指引
折腾,网站终于成功启用https连接(IIS) 网站公告 第13张

4、点击网站下的站点名称,点击右则的绑定
折腾,网站终于成功启用https连接(IIS) 网站公告 第14张

5、打开网站绑定界面后,点击添加
折腾,网站终于成功启用https连接(IIS) 网站公告 第15张

6、添加网站绑定内容:选择类型为https,端口443和指定对应的SSL证书,点击确定
折腾,网站终于成功启用https连接(IIS) 网站公告 第16张

7、添加完成后,网站绑定界面将会看到刚刚添加的内容
折腾,网站终于成功启用https连接(IIS) 网站公告 第17张        

 

  好了,按照教程到这里就应该结束了(以上截图来自腾讯云帮助中心)。

  但是我这里遇到一些状况,在本地localhost可以https,但是用域名不行,提示无法连接(但不是网络问题,实际浏览器已经连接上,但是加载不出来),网上也没有相应的办法,后来各种网站找教程到深夜看不出个所以然,不管是把绑定都填上还是重新选择证书,都没有用,无奈只能先睡觉。

  今早起来后突发灵感,尝试https直接跟主机IP访问,可以访问,于是目光聚焦在域名解析。我使用的是别名解析,后来改成主机名(A)解析,直接指向服务器IP,问题解决(没备案的慎重修改)。

  现在进入测试阶段,不知道会不会有啥问题。关于301重定向的,再重新放个文章吧,我现在还没弄。

作者:seeyo
南月
90后,写博客只是个人爱好,自己写的东西深受痞子蔡的风格影响,喜欢计算机,喜欢电子产品,喜欢做测评。信仰是成龙、AMD和HTC。兴趣比较广泛,但不文艺,偶尔逗比。

已有 1 位网友参与,快来吐槽:

网友昵称:蓟德吾
1楼蓟德吾游客2017-05-23回复
Windows 7Windows 7 Google Chrome 45.0.2454.101Google Chrome 45.0.2454.101
路过,留个脚印,俺用的也是这个主题

发表评论

分享:

支付宝

微信