SSL证书过期的危害
1、影响应用程序使用或者直接无法使用,其中包括MAIL邮箱、OA、ERP、小程序、APP、API等加密类接口等。
2、应用程序的掉线会直接影响经营业务,涉及到直接经济影响。
3、品牌形象,到期的SSL证书会在浏览器提示不信任、不安全的大红色字体,这让顾客访问网站印象非常差,直接导致流量丢失,用户对企业的信任度大打折扣。
4、网站重新面临数据数据泄露的风险。
在周末项目上的程序忽然无法访问,迅速登录后台查看,发现SSL证书在凌晨12点过期,但是在此之前我并未受到任何消息通知,发现联系人的信息是上一任负责人,于是乎就开始了SSL证书的申请以及部署。
阿里云账户每一年度可以申请一个DigiCert 免费版 SSL单域名证书,
收费的版本ov的优势:系统兼容性和网站的兼容性要高一些,加密复杂度和安全性也比较强,绑定的域名数量比较多(最多可绑定250个,免费证书只能绑定1个)。其他的和免费的区别不大。
首先应该有一个阿里云账号,进入控制台页面,操作如下:
未申请过可以正常购买,购买成功后可以看到列表中有一个待申请证书,点击证书申请
然后验证DNS就可以提交申请等待签发即可!
证书签发后可以按照自己服务器上所需去查看部署方式,下面是nginx的部署,如若是其他服务,可参考阿里云官方帮助
下载的证书压缩包,把它解压出来有两个文件,一个以pem后缀 , 一个以key后缀
首先远程登录服务器
创建一个cert目录 (官方推荐是在nginx/conf下创建cert目录),然后将两个文件上传到cert目录中
如果不知道自己nginx具体在哪个目录下,可以使用以下命令查找所在目录路径:
find . -name 'nginx*'
进入到nginx.conf
yourdomain:替换成证书绑定的域名。
如果您购买的是单域名证书,需要修改为单域名(例如www.aliyundoc.com);如果您购买的是通配符域名证书,则需要修改为通配符域名(例如*.aliyundoc.com)。
cert-file-name.pem:替换成您在步骤3上传的证书文件的名称。
cert-file-name.key:替换成您在步骤3上传的证书私钥文件的名称。
#以下属性中,以ssl开头的属性表示与证书配置有关。
server {
listen 443 ssl;
#配置HTTPS的默认访问端口为443。
#如果未在此处配置HTTPS的默认访问端口,可能会造成Nginx无法启动。
#如果您使用Nginx 1.15.0及以上版本,请使用listen 443 ssl代替listen 443和ssl on。
server_name yourdomain; #需要将yourdomain替换成证书绑定的域名。
root html;
index index.html index.htm;
ssl_certificate cert/cert-file-name.pem; #需要将cert-file-name.pem替换成已上传的证书文件的名称。
ssl_certificate_key cert/cert-file-name.key; #需要将cert-file-name.key替换成已上传的证书私钥文件的名称。
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
#表示使用的加密套件的类型。
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3; #表示使用的TLS协议的类型。
ssl_prefer_server_ciphers on;
location / {
root html; #Web网站程序存放目录。
index index.html index.htm;
}
}
注意,修改了配置文件后最好先检查一下修改过的配置文件是否正 确,以免重启后Nginx出现错误影响服务器稳定运行。
进入nginx安装目录sbin下,输入命令./nginx -t
看到显示:nginx.conf syntax is ok,nginx.conf test is successful
说明配置文件正确!
最后重新加载Nginx服务
进入nginx可执行目录sbin下,输入命令./nginx -s reload ,即可
