如何给web服务上ssl证书

介绍

SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security，TLS)是为网络通信提供安全及数据完整性的一种安全协议。如今被广泛使用，如网页，电子邮件，互联网传真，即时消息和语音在IP电话（VoIP）。其中网站是通过使用TLS来保护WEB浏览器与服务器之间的通信安全。

SSL (Secure Socket Layer)

为Netscape所研发，用以保障在Internet上数据传输之安全，利用数据加密(Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。

SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。

SSL协议可分为三层：

SSL握手协议(SSL Handshake Protocol)：握手协议是客户机和服务器用SSL连接通信时使用的第一个子协议，握手协议包括客户机与服务器之间的一系列消息。SSL中最复杂的协议就是握手协议。该协议允许服务器和客户机相互验证，协商加密和MAC算法以及保密密钥，用来保护在SSL记录中发送的数据。握手协议是在应用程序的数据传输之前使用的。

SSL记录协议(SSL Record protocol)：记录协议在客户机和服务器握手成功后使用，即客户机和服务器鉴别对方和确定安全信息交换使用的算法后，进入SSL记录协议，记录协议向SSL连接提供两个服务：

（1）保密性：使用握手协议定义的秘密密钥实现

（2）完整性：握手协议定义了MAC，用于保证消息完整性

SSL警报协议(SSL Handshake Protocol)：客户机和服务器发现错误时，向对方发送一个警报消息。如果是致命错误，则算法立即关闭SSL连接，双方还会先删除相关的会话号，秘密和密钥。每个警报消息共2个字节，第1个字节表示错误类型，如果是警报，则值为1，如果是致命错误，则值为2；第2个字节制定实际错误类型。

SSL协议提供的服务主要有：

1)认证用户和服务器，确保数据发送到正确的客户机和服务器;

2)加密数据以防止数据中途被窃取;

3)维护数据的完整性，确保数据在传输过程中不被改变。

SSL协议的工作流程：

1：客户端的浏览器向服务器传送客户端 SSL 协议的版本号，加密算法的种类，产生的随机数，以及其他服务器和客户端之间通讯所需要的各种信息。

2：服务器向客户端传送 SSL 协议的版本号，加密算法的种类，随机数以及其他相关信息，同时服务器还将向客户端传送自己的证书。

3：客户利用服务器传过来的信息验证服务器的合法性，服务器的合法性包括：证书是否过期，发行服务器证书的 CA 是否可靠，发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”，服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过，通讯将断开；如果合法性验证通过，将继续进行第四步。

4：用户端随机产生一个用于后面通讯的“对称密码”，然后用服务器的公钥（服务器的公钥从步骤②中的服务器的证书中获得）对其加密，然后将加密后的“预主密码”传给服务器。

5：如果服务器要求客户的身份认证（在握手过程中为可选），用户可以建立一个随机数然后对其进行数据签名，将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。

6：如果服务器要求客户的身份认证，服务器必须检验客户证书和签名随机数的合法性，具体的合法性验证过程包括：客户的证书使用日期是否有效，为客户提供证书的CA 是否可靠，发行CA 的公钥能否正确解开客户证书的发行 CA 的数字签名，检查客户的证书是否在证书废止列表（CRL）中。检验如果没有通过，通讯立刻中断；如果验证通过，服务器将用自己的私钥解开加密的“预主密码”，然后执行一系列步骤来产生主通讯密码（客户端也将通过同样的方法产生相同的主通讯密码）。

7：服务器和客户端用相同的主密码即“通话密码”，一个对称密钥用于 SSL 协议的安全数据通讯的加解密通讯。同时在 SSL 通讯过程中还要完成数据通讯的完整性，防止数据通讯中的任何变化。

8：客户端向服务器端发出信息，指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥，同时通知服务器客户端的握手过程结束。

9：服务器向客户端发出信息，指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥，同时通知客户端服务器端的握手过程结束。

10：SSL 的握手部分结束，SSL 安全通道的数据通讯开始，客户和服务器开始使用相同的对称密钥进行数据通讯，同时进行通讯完整性的检验。

http变成https

名字起得很俗，应该叫 如何给web服务上ssl证书，是的，上了这个证书是变成https的关键

首先来说一下 HTTP 与 HTTPS 协议的区别吧，他们的根本区别就是 HTTPS 在 HTTP 协议的基础上加入了 SSL 层，在传输层对网络连接进行加密。简单点说在 HTTP 协议下你的网站是光着身子在奔跑，但到了 HTTPS 下你穿了一件衣服，别人看不到你的肌肉了（当然，这好像不是好事，不重要），更安全了一点点，就大概这个意思。
SSL 依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。采用 HTTPS 的服务器必须从证书颁发机构 CA（Certificate Authority）申请一个用于证明服务器用途类型的证书，当然一般都有收费，而且不便宜，其实你也可以通过 OpenSSL 自己造一个证书，这样有一个弊端是大家都不信任你造的证书。那怎么办？

首先，来到这（可以直接登录阿里云然后搜索栏里面搜索"证书"）

点进去后来到这

然后找左边

然后点击立即购买，选

然后0元购之后回到刚刚的界面，正常会有提示说点击这个

点下一步会有提示

如果一部小心搞错了dns解析记录，要删掉dns解析记录再改

后面一路跟着提示点击即可，然后注意到有个部署和下载，部署也是一路点击即可，下载环节是因人而异的，总的来说就是要部署上Ngix之类的中间件上面。

如果出错了可以使用：

docker logs : 获取容器的日志

语法

docker logs [OPTIONS] CONTAINER

OPTIONS说明：

• -f : 跟踪日志输出
• --since :显示某个开始时间的所有日志
• -t : 显示时间戳
• --tail :仅列出最新N条容器日志

wordpress的docker官方镜像 ssl证书 安装

『中级篇』docker之wordpress容器SSL（番外篇）（78） - 知乎 (zhihu.com)

值得注意的是，主要是编辑/etc/apache2/sites-enabled/default-ssl.conf