my blog my blog

Tag: SSL
SSL证书的三个组成部分

今天签了几个证书,发现原来直接用crt文件的证书在部分手机上竟然显示证书不完整。仔细查了一下,原来ssl证书还有三个部分,一个是签发的crt,还有一个中间证书,还有一个根证书。但是对于桌面浏览器,只有crt证书部分就可以正常访问了,但是手机部分有时候会因为缺少中间证书和根证书导致证书不完整。

处理方法很简单:

cat ssl.ca-bundle >> ssl.crt

然后重启web服务器即可。

Comodo Positive SSL申请过程

黑五过去了,留下了一些折腾。不过还好,今天蛮有收获的。

说下Comodo Positive SSL到底怎么申请怎么用。对于Nginx用户来说,添加SSL就需要两个文件,一个是private.key,一个是domain.cer。其中private.key是我们自己生成的,cer是得花钱买的,当然也可以自己签,但是自己签的浏览器不认。

private.key的生成我们需要了解一个东西叫CSR。根据百科的内容是这样介绍的:

CSR是Certificate Signing Request的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。

生成private.key的方法很多,奶牛就不介绍了,使用linux或者windows下的签名软件生成,或者现在已经有很多网站支持在线生成CSR了,直接生成就可以。生成完成后我们得到csr.cer和private.key两个文件。

然后我们需要将csr.cer的内容提交给Comodo,然后需要一个验证过程,叫Domain Control Validation (DCV) 。这个验证过程有几种方式:

1.邮件,但是需要域名的[email protected]的邮箱可以接收邮件,这个比较麻烦,pass掉。

2.dns,这个可以,添加一个记录即可。

3.http文件,这个需要你下载他们的验证文件,然后使http://domain.com/.well-known/pki-validation/file.txt可以验证这个文件,这个方案也可以。

验证通过后就可以得到domain.cer了,然后修改nginx的conf文件增加ssl证书即可。

Cloudflare CND的正确开启方法

今天奶牛又尝试了下Cloudflare的CDN,发现这个CDN的正确开启方式有些特别。

当然,注册,添加网站到Cloudflare的后台都是正常步骤,然后更新NS服务器,最后,发现网站无法访问,问题就在SSL上面。

比如奶牛以前使用的是自己的SSL,但是Cloudflare并不认这一套,至少对免费用户是这个样子。没办法,只能等?

NO,直接让Cloudflare回源,就是overview里面的pause,直接暂停掉Cloudflare的CDN,然后回源,等什么时候SSL在Crypto标签中显示

Status Active Certificate

的时候,再把CDN设置为启用状态即可。

WordPress使用SSL后需要注意的一些问题

奶牛的博客也进入了HTTPS的时代了,升级后原来的主题就直接删了,虽然很怀念,但是也无能为力,特别是启用了SSL后,页面的站长统计什么的都要统统改成https链接引入,否则直接就不加载了,后台的设置博客地址也要改成https类型的,奶牛并没有使用HSTS,怎么说呢,强扭的瓜还是不甜,特别是当SSL证书失效后便无法访问会造成很多不安因素,特别是我就一个博客,也不会有太多不安全因素。但是,HSTS还是趋势,建站的成本也在不断提升。最后记录下HSTS的申请网站吧。https://hstspreload.org/

Google的SSL搜索无法使用解决方案之hosts文件修改法

 

吼吼,奶牛回来了,今天发个解决方案,是关于Google的SSL加密搜索的。话说奶牛走的那天晚上就已经发现google的搜索引擎即使用https为开头也无法正常搜索,会长时间停留在链接encrypted.google.com这个地址上却啥也不搜索。根据月光博客上的文奶牛先发一个解决方法,就是本地修改hosts文件来解决。用域名查询工具查下域名的IP,然后本地将域名直接解析到此IP上就可以了。根据月光博客的文章介绍,是由于DNS污染所致。因为奶牛也比较注重应用,所以直接将方法发布出来吧。

打开本地的hosts文件,win系统在系统盘下的windows/system32/drivers/etc/文件夹下,ubuntu linux 系统在/etc/hosts。

文件找到了就是修改了,奶牛建议大家先备份一下原来的hosts文件。修改嘛也很简单,拉到文件最后直接添加域名的转向ip地址就可以了。例如encrypted.google.com,大家可以参考奶牛的图片。

hosts文件修改

其中的空白位置用空格就可以了,多少没有限制。

关于域名的IP查询大家可以用站长工具等,方法很多,这里不熬述了,奶牛用的是防火墙的查询功能。继续上图:

ok,这样修改完成后本地ping一下encrypted.google.com,如果解析到设置的IP地址应该就可以正常使用了。

快速设置Google的SSL访问

 

这是奶牛的第三篇写Google的SSL的文了,这次嘛还是先说说问题,上篇博文 再来说说Google的 SSL搜索 的评论中 Pavel说会自动跳到http://www.google.com.hk上面,应该是G*F&W做的吧,这里奶牛给出两个方法来解决。

1.从hk的页面下方进入google.com in English,然后访问 http://www.google.com/ncr ,酱紫之后继续访问 https://www.google.com 应该就可以正常访了。

2.这个才是这篇的主角,现在有一个自动设置这些的网站哦,大家直接访问http://code.google.com/p/ggssl/就可以解决这个问题了,这个网站只要访问一次,以后都直接访问https://www.google.com就可以了。

Googl的SSL快速设置

再来说说Google的SSL搜索

 

前阵子Google推出了SSL的Google搜索,不知道大家都用了么,哈哈,有了SSL,Google搜索内容的限制上就少了很多。今天奶牛在看网站统计的时候点开Google中的一个关键字想看看排名来着,结果默认打开的是Google的HK服务器,呃,接着奶牛顺便搜索了一下*翻&墙!两个字,大汗,竟然直接不显示结果,呃,看样子不用安全搜索真的快屏蔽完了。最好嘛还是推荐大家使用Google的SSL搜索,具体介绍大家可以看奶牛的文章为ubuntu的firefox添加添加SSL加密的Google搜索引擎,呃,忘掉这个标题,其实方法各个操作系统都适用的。