Google Code Prettify - 輕量級的語法上色工具

星期五, 8月 07, 2015

SSL憑證

SSL觀念討論 
http://www.imacat.idv.tw/tech/sslcerts.html#review
http://csc.ocean-pioneer.com/docum/ssl_basic.html
SSL/X.509 規定中,認證中心 (CA) 的簽名所保證的是 Public Key 憑證的確是屬於這家公司的這個伺服器而已。
也就是說,它只保證妳送的資料(如:信用卡號碼)會確確實實交到這家公司的這個伺服器手中,不怕被任何人中途攔截監聽。

加解密法
對稱式加解密法(編碼解碼使用同一個key)
一般電子商務網頁(購物車)
  1. 編碼 key+原始資料->編碼資料
  2. 解碼 key+編碼資料->原始資料

非對稱式加解密法(編碼解碼使用不同的key)
這裡不討論(用於:公司內部或工商憑證 股票電子憑證 自然人憑證。使用者會持有自己的key)
  1. 編碼 key1+原始資料->編碼資料
  2. 解碼 key2+編碼資料->原始資料


電子商務SSL憑證
https://publicca.hinet.net/SSL-07.htm
  1. 憑證請求檔製作
  2. 憑證安裝檔操作
中華電信購買流程


安裝SSL證書
簡要介紹一下安裝SSL的順序
要有一個獨立IP的主機;
為網域名生成一個key,並透過此key生成csr;
購買SSL證書(,並提供第所生成的csr;
收到簽發的證書之後,安裝到您的服務器上並啟用;

為相關域名啟用ssl證書;
cpanel中如何為獨立IP主機安裝SSL
http://www.hksilicon.com/kb/articles/113423/cpanelIPSSL

Webmin的安裝SSL證書
http://hengtian.biz/277.shtml


其他
Apache 將加密首頁與非加密首頁分離
http://linux.vbird.org/linux_server/0360apache.php#www_ssl_virtual
或許你已經發現一個無俚頭的地方,就是我的 http:// 以及 https:// 首頁是一模一樣的嘛!那麼我的讀者幹嘛沒事找事幹, 肯定不會使用 https 的嘛!那怎辦?怎麼強制使用者使用 https:// 來查閱我的重要資料?很簡單啊! 透過虛擬主機就好了啊!因為 SSL 模組也是預設提供了這個功能的嘛!修改會不會很麻煩呢?不會啦! 你只要將 http 及 https 的首頁分離即可!我們這麼假設好了:
  • 一般明碼傳輸的網頁首頁不要變更;
  • https:// 的首頁放置到 /var/www/https/ 目錄下。
所以我們得先要設定 /var/www/https 目錄才行!然後,只要修改 ssl.conf 檔案內容即可!整個過程可以這樣處理:
# 1. 處理目錄與預設的首頁 index.html 檔案:
[root@www ~]# mkdir /var/www/https
[root@www ~]# echo "This is https' home" > /var/www/https/index.html

# 2. 開始處理 ssl.conf 的內容囉!
[root@www ~]# vim /etc/httpd/conf.d/ssl.conf
Listen 443                      <==預設的監聽埠口!不建議修改!
     <==就是虛擬主機的設定囉!
DocumentRoot "/var/www/https"   <==約84行,拿掉註解改掉目錄名稱
ServerName *:443                <==拿掉註解,並將主機名稱設定為 *
SSLEngine on                    <==有支援 SSL 的意思!
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
SSLCertificateFile /etc/pki/tls/certs/vbird.crt
SSLCertificateKeyFile /etc/pki/tls/certs/vbird.key


[root@www ~]# /etc/init.d/httpd restart
大部分都使用預設值,就是 DocumentRoot 以及 ServerName 需要留意就是了。如此一來,我們就將 https, http 兩個完整的分開,你的重要資料需要加密的,終於有個可靠的地方擺放囉!^_^
listen 443;
server_name mysite.com;

ssl on;
ssl_certificate /etc/ssl/certs/ssl-bundle.crt;
ssl_certificate_key /etc/ssl/private/mysite.key;


便宜到不行的SSL認證中心
https://www.ssls.com/ssl-certificates/comodo-positivessl

詳細設定Nginx的方法在這裡。
記得去設定檔裡面加一段讓http都轉到https的字串
rewrite ^(.*) https://$server_name$1 permanent;


如何在Opencart使用SSL
  1. 先安裝好SSL證書
  2. 然後進入後台,在網站設定那裏,最右邊的Server,裡面有個要使用SSL,選是
  3. 然後進入系統的地方,修改Config.php,把程式裡面原來HTTPS,卻沒有使用https,都改成https
  4. 最後請加上一個.htaccess,強迫轉向https,不然除了主頁有https以外,其他地方是不會有的。



---------------------------------------------------
SSL /TLS
SSL(Secure Sockets Layer)/是Netscape 所發明一的種連線安全的機制,後來產生了新TLS(Transport Layer Security) ,其差別如下:
1.SSL是全程使用,如果原來使用非編碼的連線,若要進入編碼的連線,要由另一個port連線進入
2.TLS是在同一個連線中可以使用啟動TLS的關鍵字進入,同樣可以退出為一般的連線
因此使用SSL的daemon要使用另一個port來等待別人來連線,而TLS是使用原來的port
---------------------------------------------------
使用SSL協定
https: 443
pop3s:995
imaps:993
使用TLS協定,可在原port交談,不用切換,但程式必須要支援
pop3:110-多了STLS命令
imap:143 -多了STARTTLS命令
smtp:25-多了STARTTLS命令

#版本
SSL 2.0 -基本上已經廢棄了
SSL 3.0 -好像不相容SSL 2.0
TLS 1.0 -和SSL3.0 非常類似
沒有SSL 1.0的版本,而且各版本是不同組織所定的

張貼者:
標籤: