关于ssl证书
ssl证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。ssl证书通过在客户端浏览器和web服务器之间建立一条ssl安全通道(secure socket layer(ssl)安全协议是由netscape communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于ssl技术已建立到所有主要的浏览器和web服务器程序中,因此,仅需安装服务器证书就可以激活该功能了)。即通过它可以激活ssl协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露。保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。
向ca机构申请证书一年少者几十多者数千美元,很不划算,好在互联网上总不缺免费午餐,startssl就是很好的选择。
什么样的情况下需要ssl证书?
1、购物交易功能
这个就不用说了,支付宝、财付通等肯定会加密以保护你的密码安全。
2、注册类功能
有些大站点,注册会员或者登陆的时候,会专门通过ssl通道,来保护你的密码安全。比如百度会员中心登录的数据传输通道
startssl上的ssl证书申请流程:
第一步、免费注册startssl账户
1.登陆startssl官方网站
官方网站地址:https://www.startssl.com/
进入官方网站之后,我们有看到他提供的各种免费和付费方案,免费的是最右边那个免费一年,我们开始要注册的是账户注册地址(https://www.startssl.com/signup),先要拥有账户才可以申请。
2.注册免费账号
填写个人资料注册startssl账户。
3.输入邮件内的验证码后就可以开始生成你的私人证书了,选项默认即可。
4.安装证书到浏览器,这里以chrome为例:
5.完成,点击'backup this certificate'备份你的证书,证书是验证你身份唯一方法,如果丢失就只能重新注册账户了,此时证书已经安装到浏览器了,因此你也可以从浏览器中备份证书。
验证域名
在创建证书之前需要先验证域名的所有权。
1.进入control panel(可能需要点击authenticate并使用上一步生成的证书才能看到图示的页面),选择validations wizard,类型选择domain name validation。
2.输入域名。
3.选择一个有效的邮箱接收验证码,可以使用域名whois中的邮箱或默认网站管理者邮箱(没有带域名的邮箱可选择使用网易免费企业邮等服务)。
4.收到邮件后,输入邮件中的验证码。
5.域名所有者验证成功。
生成证书
1.选择certificates wizard进入ssl证书生成向导,证书目标选择web server ssl/tls certificate
2.输入10-32位密码生成秘钥。
3.备份秘钥,将文本框内的内容保存成一个文本文件,如ssl.key。
4.选择上一步验证了的域名。
5.添加子域名。
6.确认域名子域名信息,准备生成证书。
7.备份生成的证书,将文本框内容保存成一个文本文件,如ssl.crt。在下面intermediate链接中下载中间证书sub.class1.server.ca.pem。
解密秘钥
在使用证书证书之前还需要对生成的秘钥解密,可使用命令openssl rsa -in ssl.key -out ssl_decrypted.key,或者是startssl提供的工具: tool box - decrypt private key,生成的内容另存为文件,如ssl_decrypted.key。
导入证书
登陆synology nas dsm,进入控制面板 - dsm设置 - http服务 - 导入证书,选择前面生成的文件:
1.秘钥 ssl_decrypted.key 解密过的。
2.证书 ssl.crt。
3.中间证书 sub.class1.server.ca.pem,如果前面忘记下载还可以在这里找到。
点击确定重启网页服务器。
至此ssl证书安装完成,此时访问nas就不会再有烦人的警告了,地址栏边上淡绿色的小锁清楚的告诉你已经经过认证了,网站身份是合法有效并值得信赖的。
tip:
1.startssl证书的有效期为一年,到期后重新申请即可。
2.重复上面的操作可以为多个子域名申请证书。
3.证书可以随时从tool box - retrieve certificate要回,但秘钥只有在生成证书时才能获取,而证书和秘钥只有配对才有效,所以切记保管好你的秘钥。