我司主機部署SSL數字證書(shū)，需要有獨立 IP的虛擬主機或云主機；               

香港線(xiàn)路虛擬主機目前支持可選購獨立 IP，直接在虛擬主機控制面板上【ssl部署】功能進(jìn)行部署；

如果您是國內線(xiàn)路虛擬主機要部署SSL證書(shū)，建議您升級到云主機。 

云主機部署相對也比較復雜，以下教程來(lái)源于網(wǎng)絡(luò )，僅供參考。如果對技術(shù)不熟悉，建議聯(lián)系我們，由我司工程師幫您配置（會(huì )有費用產(chǎn)生）。

獨立主機（云主機、vps）部署辦法：

1.    Apache 部署SSL證書(shū) (只能應用一個(gè)證書(shū), 如果多個(gè)不同站點(diǎn)都需要安裝不同的證書(shū),請使用nginx)

    a.  查看apache是否開(kāi)啟ssl （特別注意要在apache配置文件中添加Listen  443否則沒(méi)有443端口監聽(tīng)）

        打開(kāi) apache安裝目錄/conf/httpd.conf 文件,找到 里面兩行      

        #LoadModule ssl_module modules/mod_ssl.so

        將行首的#去掉,保存文件

        執行命令: apache安裝目錄/bin/httpd -M | grep ssl_module  , 出現圖下結果說(shuō)明apache已經(jīng)支持ssl, 否則請先開(kāi)啟apache的ssl模塊

    b.  配置證書(shū)到對應的站點(diǎn)

         編輯站點(diǎn)對應的站點(diǎn)配置文件,如:apache安裝目錄/conf/extra/httpd-ssl.conf, 修改內容如下

        <VirtualHost www.domain.com:443>    

            DocumentRoot "/var/www/html"    

            ServerName www.domain.com    

            SSLEngine on    

            SSLCertificateFile          證書(shū)文件路徑/_www.domain.com.cer  

            SSLCertificateKeyFile    證書(shū)文件路徑/_www.domain.com.key    

            SSLCertificateChainFile 證書(shū)文件路徑/_www.domain.com_ca.crt  

        </VirtualHost>

    c.    重啟apache生效

2.    Nginx 部署SSL證書(shū) （特別注意下面加紅內容，需要先合并.crt、.cer文件）

        a.  查看nginx是否開(kāi)啟ssl

        執行命令: nginx安裝目錄/sbin/nginx -V, 查看命令結果中是否包含"--with-http_ssl_module",否則請先安裝ssl模塊

        b.  配置證書(shū)到對應的站點(diǎn)

        編輯站點(diǎn)對應的站點(diǎn)配置文件,新增或修改如下內容

        server {

            listen          443 ssl;                                             #將原來(lái)的80 修改為443

            ...

            root /www/web/xxxx/public_html;

            ssl_certificate        證書(shū)文件路徑/_www.domain.com.crt;          #需將_www.domain.com.cer  中的內容復制到這個(gè)文件頭部，中間不要有空行

            ssl_certificate_key 證書(shū)文件路徑/_www.domain.com.key;         #證書(shū)密鑰文件

            ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

            ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL;

            ...

        }

3.    IIS 部署SSL證書(shū)

    a.    導入證書(shū)

打開(kāi)IIS服務(wù)管理器，點(diǎn)擊計算機名稱(chēng)，雙擊‘服務(wù)器證書(shū)

雙擊打開(kāi)服務(wù)器證書(shū)后，點(diǎn)擊右則的導入

選擇證書(shū)文件，點(diǎn)擊確定

        b.    站點(diǎn)開(kāi)啟ssl

選擇證書(shū)文件，點(diǎn)擊確定

點(diǎn)擊網(wǎng)站下的站點(diǎn)名稱(chēng)，點(diǎn)擊右則的綁定

打開(kāi)網(wǎng)站綁定界面后，點(diǎn)擊添加

添加網(wǎng)站綁定內容：選擇類(lèi)型為https，端口443和指定對應的SSL證書(shū)，點(diǎn)擊確定

添加完成后，網(wǎng)站綁定界面將會(huì )看到剛剛添加的內容

4. Tomcat 證書(shū)部署

    a.    配置SSL連接器

            將www.domain.com.jks文件存放到conf目錄下，然后配置同目錄下的server.xml文件, 新增如下內容

            <Connector 

                port="443" 

                protocol="HTTP/1.1" 

                SSLEnabled="true"    

                maxThreads="150" 

                scheme="https" 

                secure="true"    

                keystoreFile="conf\www.domain.com.jks"    

                keystorePass="changeit"    

                clientAuth="false" sslProtocol="TLS" 

            />

            說(shuō)明

            clientAuth如果設為true，表示Tomcat要求所有的SSL客戶(hù)出示安全證書(shū)，對SSL客戶(hù)進(jìn)行身份驗證

            keystoreFile指定keystore文件的存放位置，可以指定絕對路徑，也可以指定相對于 （Tomcat安裝目錄）環(huán)境變量的相對路徑。如果此項沒(méi)有設定，默認情況下，Tomcat將從當前操作系統用戶(hù)的用戶(hù)目錄下讀取名為 “.keystore”的文件。

            keystorePass密鑰庫密碼，指定keystore的密碼。（如果申請證書(shū)時(shí)有填寫(xiě)私鑰密碼，密鑰庫密碼即私鑰密碼）

            sslProtocol指定套接字（Socket）使用的加密/解密協(xié)議，默認值為T(mén)LS

    b.    http自動(dòng)跳轉https的安全配置

            到conf目錄下的web.xml。在</welcome-file-list>后面，</web-app>，也就是倒數第二段里，加上這樣一段

            <web-resource-collection >    <web-resource-name >SSL</web-resource-name>    <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint>    <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint>

            這步目的是讓非ssl的connector跳轉到ssl的connector去。所以還需要前往server.xml進(jìn)行配置：

            <Connector port="8080" protocol="HTTP/1.1"    connectionTimeout="20000"    redirectPort="443" />

            redirectPort改成ssl的connector的端口443，重啟后便會(huì )生效。