标签 SSL 下的文章

[更新]しらSSL 免费AlphaSSL野卡(通配符、泛域名证书)Wildcard SSL申请

  1. 更新

更新内容(更改每天免费名额为12个)

Beta0.5.2更新说明
1.line机器人一上线,详细见下面qr码
2.修复cli调用问题
3.完成无缝升级
4.修复几处bug

更新福利
12个名额目前补满,今晚23:59还会重置

目前状态
每日免费名额12个,line获取py码名额20个
每个line账户只可获取1个
名额于Asia/Tokyo的23:59执行

提示
下一版本加入PY码有效期限,预计定为24小时,PY码生成24小时内使用,24小时之后失效!

历史问题
2017-11-21 21:43 解决不能正常获取执行状态的错误(500),页面未关闭时将会自动继续
2017-11-21 20:37 解决不选邮箱无法进入下一步的问题(第一行加入选择提示)
2017-10-13 13:17 修了下邮箱灰化问题,顺便增加了10个名额(仅限今日)
2017-10-14 06:41:有人反馈额度没更新,后发现cron路径写错,现在已更新。
2017-10-15 00:45 发现cron又莫名其妙的爆炸了,现在又手动更新了下.
2017-10-18 07:57 早上拉屎的时候发现cron每日执行+上次执行判断时间导致每2日才会重置一次免费名额,现已修正,今日名额已手动重置.
2017-10-18 15:04 由于升级时未更新入口文件,导致cli程序不能确定项目目录无**常运行签发程序,现在此问题已经解决.

  1. 泛域名证书

什么是通配符、泛域名证书?
即:Wildcard SSL Certificates
简单点说就是这个SSL证书包含这个域名domain.com以及所有二级子域名*.domain.com
更多关于ssl证书的信息,还请自行了解,这里不多赘述!

  1. 信息来源

信息来自hostloc论坛大佬 @dream7758521
http://www.hostloc.com/thread-400833-1-1.html
大佬博客:https://blog.ni-co.moe

  1. 申请限制
    目前只有每日签发的32个!!!(请看更新、说明)

刷新时间为GTM+9:00 每天23:59
大佬提示:
诸位请轻撸,如果我发现多次签同一域名的话会想办法吊销这域名的全部ssl
博主友情提示:如果你确实需要,签发一个两个就可以了!

  1. 申请准备

a.首先你需要一个域名(这都是废话...)
b.如果域名有whois保护,请先提前关闭(否则无法向你的whois邮箱发送申请验证邮件)
c.提前生成 SSL证书请求CSR文件和SSL证书密钥KEY文件
注意:这里建议whois邮箱是国外邮箱,博主之前也在其他途径申请过(最早提供的地方,已经关闭https://assl.loovit.com),后面发现国内邮箱很多都无法接收到验证邮件,至于为什么?撸太多?大家自己想想吧!

  1. CSR文件和密钥KEY生成

证书请求CSR文件和SSL证书密钥KEY文件,一般在linux系统下通过命令生成,这里推荐一个方便的在线生成工具:
https://csr.chinassl.net/generator-csr.html
第一步:填写基本信息
参考图一
20171013215340.jpg

点击生成,建议勾选发送到邮箱,避免SSL证书密钥KEY文件丢失,这里可以用国内邮箱!
得到图二
20171013215745.jpg

  1. 申请地址

大佬提供的项目地址:https://ssl.ni-co.moe
申请具体地址:
https://ssl.ni-co.moe/ssl/create/free.html

  1. 开始申请

打开申请地址,参考截图填写!CSR一栏,填写前面生成的CSR信息即可!填写好后,点击获取whois邮箱,选择正确的邮箱后,点击提交签发!(可能会有一个需要 勾选人机验证,且可能需要特别方法才能完成验证,具体自行体验!!!)
20171013214507.jpg
签发后,去whois邮箱,查收验证邮件!一般几分钟可以收到!
20171013225957.jpg
打开邮箱中的验证邮件,点击验证的链接。点击I APPROVE我同意。等待几分钟就会收到证书邮件了。
证书会发送到你在申请地址https://ssl.ni-co.moe/ssl/index/create.html这里填写的邮箱!
证书内容在邮件的最后,开始部分为-----BEGIN CERTIFICATE-----
结尾部分为-----END CERTIFICATE-----
完整的证书文件内容必须包含这两部分!!!

  1. SSL证书链补全

证书安装后,某些手机浏览器访问可能提示有风险,则需要补全证书链!如下:
-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----
注意:不同web环境可能安装方法不同
nginx下:将以上证书内容直接补充到你的域名签发的ssl证书内容后面即可
apache下:可以直接将以上内容新建文本文档,复制粘贴后另存为xxx.crt文件,并直接在站点配置文件中添加SSLCertificateChainFile 字段后引用xxx.crt文件路径即可!

  1. 写在后面

最后,所有资源都来自网络!虽然是免费的,大家更应该珍惜!不要变成蝗虫!!!!

SSL A+ 配置的一个注意问题(HSTS配置)

1. 前言

前面我们提供了Apache、Nginx下的配置教程。但是在SSL配置中有一个问题需要注意!

 2. Apache、Nginx下HSTS代码

Apache:

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

Header always set X-Frame-Options DENY

Header always set X-Content-Type-Options nosniff

Nginx:

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; 

3. 注意的问题

那就是HSTS的问题:

优势:开启HSTS后,安全评分可以达到A+

弊端:开启HSTS后,很长时间就不能换回HTTP了,同时需要全站开启HTTPS 

4. 说明

开启HSTS 配置,这个对评分影响也比较大,开启这个需要全站开启 HTTPS ,同时也有弊端,开启 HSTS 后,很长时间就不能换回 HTTP 了,max-age后面的数字即表示时间 单位:秒 (15768000 seconds = 6 months)(我的教程中,这个时间我是缩短了一下的,大概两个多月的样子) 

5. 结束

这个问题就各取所需了,有些人可能一直开https,这也是全民上ssl的一个趋势吧!如果一直开上ssl且并不打算换回http,就不用担心这些问题了!但是如果你已经在用很久的http,又想尝试https,可以在配置的时候就考虑不要加上HSTS配置!

20171005155437.jpg

宝塔面板 Nginx SSL 配置 A + 等级教程

一. 前言
上一篇文章我们配置了Apache的ssl A+教程,这次为大家带来的是Nginx!

为什么要把 SSL 的配置安全等级设置为 A + 呢?我也不知道!好看?
各取所需嘛,不同的人肯定有不同的理解!大家随意,文章教程本就是给那些需要的人!
新手建议修改任何文件之前,先备份!如造成生产环境或者数据异常,请自行负责!

二. 演示配置环境
宝塔 linux 面板 5.1(bt.cn)
Web 服务器环境 nginx1.8

请自行安装好宝塔面板以及nginx环境,并建立好站点(开启ssl)!

三. 具体配置教程

  1. 前置

同样,先了解下宝塔面板的建立的站点nginx环境下的路径:
nginx1.8 安装路径:/www/server/nginx
所有站点配置文件存放路径:/www/server/panel/vhost/nginx/
站点配置文件:/www/server/panel/vhost/nginx/你的域名.conf(本教程需要修改此文件)

  1. SSL开启、证书配置

注意:大部分证书机构提供的证书都是多级,所以可能需要我们把多个证书合并成一个,可以减少浏览器额外下载中间证书的次数。具体合并方法请自行探索,这里不叙述了!
**listen 443 ssl;
ssl on; (开启ssl)
ssl_certificate /etc/letsencrypt/live/你的域名/fullchain.pem; (完整证书.crt、.pem文件位置)
ssl_certificate_key /etc/letsencrypt/live/你的域名/privkey.pem; (证书私钥.key文件位置)**

  1. 生成dhparam.pem

命令:openssl dhparam -out dhparam.pem 4096
可能需要比较长的时间,具体根据你的vps服务器cpu 内存而定!我这里默认是使用的4k,如果配置比较低,也可以换成2k,即把后面的参数4096换成2048
写入到站点配置文件:ssl_dhparam /ssl/certs/dhparam.pem;(注意修改dhparam.pem文件路径为你自己的)

  1. 加密套件和 ciphers 选择,ciphers 的选择比较关键,这个配置中的 ciphers 支持大多数浏览器,但不支持 XP/IE6

ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS";

ssl_prefer_server_ciphers on;

  1. 安全协议,选择TLS协议,禁用了不安全的 ssl 协议 SSL 2.0 和 SSL 3.0

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

  1. ssl session配置

ssl_session_cache shared:SSL:10m; (ssl session缓存时间10分钟)
ssl_session_timeout 10m; (ssl session超时时间10分钟)

  1. HSTS 配置,这个对评分影响也比较大,开启这个需要全站开启 HTTPS 同时也有弊端,开启HSTS后,很长时间就不能换回HTTP了,后面的数字即表示时间(15768000 seconds = 6 months)

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

  1. 将以上内容写入到站点配置文件的server {} 位置

完整配置如图:
20170928121132.jpg
红线部分即需要添加的内容

  1. 重启Nginx

重启nginx,reload配置,查看是否报错,如有报错,请检查是否修改不正确!
重启方法:
service nginx restart
/etc/init.d/nginx restart

四. SSL安全等级测试地址

测试地址:https://www.ssllabs.com/ssltest/
Hostname 后输入域名,点击 Submit 开始测试,等待测试完成即可!
20170928120944.jpg

五. 写在后面
写这么多,也希望能帮到一些人吧!如有疑问,可以评论提出!
这些内容均为自己一年多前研究摸索获得,参考较多内容,时间太长具体那些已经忘记!
基本算是原创吧,如有转载,请注明出处!谢谢!
希望大家多多支持!

宝塔面板 Apache SSL配置A+ 等级教程

一、 写在前面

为什么要把 SSL 的配置安全等级设置为 A + 呢?我也不知道!好看?各取所需嘛,不同的人肯定有不同的理解!大家随意,文章教程本就是给那些需要的人!

新手建议修改任何文件之前,先备份!如造成生产环境或者数据异常,请自行负责!
本教程中配置后,无需再单独修改每个站点配置文件,后期直接创建站点并开启 ssl 即可!

二、 演示配置环境

演示配置环境:
宝塔 linux 面板 5.1(www.bt.cn)
Web 服务器环境 Apache2.4
至于宝塔安装教程不叙述,请自行自官方查询!
首先,请安装好宝塔面板,并在软件管理中安装 Apache2.4 环境,并添加好站点!点击站点设置,开启 SSL!(ssl 证书获取方式不多叙述,这里演示就用面板自带的自动申请 Let's Encrypt 免费证书)如下图:

三、 具体配置教程

1、前置先了解下宝塔面板的建立的站点 apache 环境下的路径:
apache2.4 安装路径:/www/server/apache(本文不需要,了解即可)
所有站点配置文件存放路径:/www/server/panel/vhost/apache/(本教程需要上传 / 新建 SSL 配置文件到此路径)
站点配置文件:/www/server/panel/vhost/apache / 你的域名. conf(本教程可能需要修改此文件)
2、SSL 安全设置
为 apache 添加安全配置:
创建 ssl.conf 文件,并录入以下内容:
#侦听 ssl 443 端口

  1. Listen 443  

#加密套件和 ciphers 选择,ciphers 的选择比较关键,这个配置中的 ciphers 支持大多数浏览器,但不支持 XP/IE6

  1. SSLCipherSuite  ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS  

#安全协议,禁用了不安全的 ssl 协议 SSL 2.0 和 SSL 3.0

  1. SSLProtocol All  -SSLv2 -SSLv3  

#启用优先级 正向保密

  1. SSLHonorCipherOrder  On  

#HSTS 配置,这个对评分影响也比较大,开启这个需要全站开启 HTTPS 同时也有弊端,开启 HSTS 后,很长时间就不能换回 HTTP 了,后面的数字即表示时间 (15768000 seconds = 6 months)

  1. Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"  
  2. Header always set X-Frame-Options DENY  
  3. Header always set X-Content-Type-Options nosniff  

将上述文件 ssl.conf 上传到 / www/server/panel/vhost/apache / 目录下
此处需要说明:
a. 此文件内容本是需要加载到 apache 的配置文件 httpd.conf 的内容中,即 / www/server/apache/conf/httpd.conf 但是宝塔面板的这个配置文件中已经加载一条命令直接读取 / www/server/panel/vhost/apache / 下的配置文件,所以这里就直接单独设置一个文件上传到这里即可!
b. 如果你是其他环境,或者自行编译安装的,请自行将以上内容添加到 httpd.conf 配置文件中!
3、站点 ssl 证书配置文件设置编辑 / www/server/panel/vhost/apache / 你的域名. conf 中,具体内容为:

  1. #SSL  
  2. SSLEngine On  
  3. ​SSLCertificateFile /etc/letsencrypt/live / 你的域名 / fullchain.pem  
  4. SSLCertificateKeyFile /etc/letsencrypt/live / 你的域名 / privkey.pem  

修改位置和方法:
#开启站点 ssl:
SSLEngine On
#站点 ssl 证书文件路径:
SSLCertificateFile /xxx/ssl/ssl.crt(不同地方下载的证书格式可能不同,自行根据你的文件存放路径和名称填写)
#ssl 证书私钥 key 路径:
SSLCertificateKeyFile /xxx/ssl/key.key(不同地方下载的证书私钥 key 格式可能不同,自行根据你的文件存放路径和名称填写)
#增加一项,ssl 的根证书位置,一般是需要这一项的,如没有根证书,可能某些浏览器会报不安全!(为什么默认这里没有,因为我这里是直接使用的宝塔后台 Let's Encrypt 免费证书,自动已经将根证书和你所申请域名的 ssl 证书合并在一个文件中)
SSLCertificateChainFile /xxx/ssl/root.crt
关于这里的一些配置,对 ssl 配置有一定了解的,基本都清楚怎么配置的,也比较适合喜欢折腾自己弄的朋友!
新手建议直接在宝塔后台操作就可以了,也避免出错!
当然你想自己弄,学点东西也是可以的!其他地方不清楚建议不要修改!
自此,配置基本技术,重启 apache 服务器,查看是否报错,如有报错,请检查是否修改不正确!
重启方法:

  1. service httpd restart  
  2. /etc/init.d/httpd restart  

四、 SSL安全等级测试

测试地址:https://www.ssllabs.com/ssltest/
Hostname 后输入域名,点击 Submit 开始测试,等待测试完成即可!

五、 写在后面

写这么多,也希望能帮到一些人吧!如有疑问,可以评论提出!这些内容均为自己一年多前研究摸索获得,参考较多内容,时间太长具体那些已经忘记!基本算是原创吧,如有转载,请注明出处!谢谢!希望大家多多支持!


Warning: in_array() expects parameter 2 to be array, null given in /www/users/HK1590886/WEB/usr/plugins/TopLamuLeimu/Plugin.php on line 85