如何给网站免费添加Https加密

免费添加https加密申请免费的SSL证书就可以了，一般不建议大家使用免费的SSL证书，因为它喝付费的SSL证书有很多差别：

1、验证类型

免费SSL证书只有域名验证性型（DV SSL证书），而付费SSL证书有域名验证型（DV SSL证书）、企业验证型（OV SSL证书）、组织验证型（EV SSL证书）。

免费SSL证书仅需要域名验证不需要对企业和组织进行验证，因此留下了很大的安全漏洞和隐患。第三者只需验证域名信息就能轻松获得证书，从而为自己披上看似可信的外衣。此时的https仍可起到加密传输的作用，但信息传输的目的却由真实网站的服务器变成了第三者的“钓鱼”服务器，信息加密也就如同虚设，第三者抓取用户敏感信息就变得轻而易举。

2、使用限制

免费SSL证书在使用时还有诸多限制，比如：免费SSL证书只能绑定单个域名、不支持通配符域名、多域名等。此时相关服务也会大打折扣，大多数免费的SSL证书都由用户自行安装，无法提供后期服务和技术支持，在遇到SSL证书安装问题时，也无法得到解决。

而提供付费SSL证书的商家，一般会提供申请购买到安装的一系列访问，后续出现问题，还找提供商寻求解决。

3、使用时间

免费SSL证书有效期过短，每三个月或者一个月就要更新一次，到期后还要自己申请，很多用户很容易就会忘记续期。

而付费SSL证书的使用年限一般是1年，不用时时刻刻担心证书过期的问题。而且证书服务商会有一个到期提醒，更不用担心。

4、选择多样性

目前提供免费SSL证书的Lets Encrypt、Comodo等，而付费SSL证书选择性就大得多，Comodo、GeoTrust、Symantec、RapidSSL等知名CA机构。

总的来说，免费的SSL证书，适用于个人博客，作为一个临时的解决方案。企业或流量较高的个人网站还是选择付费的SSL证书比较好。

申请流程如下：

第一步，生成并提交CSR（证书签署请求）文件

CSR文件一般都可以通过在线生成（或服务器上生成），申请人在制作的同时系统会产生两个密钥，公钥CSR和密钥KEY。选择了SSL证书申请之后，提交订单并将制作生成的CSR文件一起提交到证书所在的CA颁发机构。

第二步，CA机构进行验证

CA机构对提交的SSL证书申请有两种验证方式：

第一种是域名认证。系统自动会发送验证邮件到域名的管理员邮箱（这个邮箱是通过WHOIS信息查询到的域名联系人邮箱）。管理员在收到邮件之后，确认无误后点击我确认完成邮件验证。所有型号的SSL证书都必须进行域名认证。

第二种是企业相关信息认证。对于SSL证书申请的是OV SSL证书或者EV SSL证书的企业来说，除了域名认证，还得进行人工核实企业相关资料和信息，确保企业的真实性。

第三步，CA机构颁发证书

由于SSL证书申请的型号不同，所验证的材料和方式有些区别，所以颁发时间也是不同的。

如果申请的是DV SSL证书最快5分钟左右就能颁发。如果申请的是OV SSL证书或者EV SSL证书，一般3-5个工作日就能颁发。

完成以上SSL证书申请步骤收到CA的证书之后，然后将SSL证书正确的部署到服务上，网站就可以开启HTTPS加密了。

可以登陆JoySSL官方购买安装证书对网站加以防护 。

本文环境为Ubuntu LTS 1604，已经安装配置好了Nginx，http可以访问。目标是为该网站启用HTTPS，增强站点安全性。

目前获取安全证书的方案有三：

本文中将采取第三种方式。

Let's Encrypt证书机构颁发的免费证书对任何人都是开放的，所以在获取证书的过程中会验证证书申请人是否对网站有控制权，例如，能否在WWW主机上执行获取证书程序。

另外，网站应保持启动，域名有效，80端口可被外界访问。

具体访问步骤如下：

本文忽略了安装前提软件的执行过程，同时因为系统中有多个站点，所以还是希望能够获取到证书后自行配置启用HTTPS。以下主要是命令 sudo certbot --nginx certonly 的日志记录。过程中需要回答一些问题。

根据日志可以看到，证书为/etc/letsencrypt/live/mytestchinanorthcloudappchinacloudapicn/fullchainpem，

key文件为/etc/letsencrypt/live/mytestchinanorthcloudappchinacloudapicn/privkeypem，证书过期日期为 2018-11-04 。自动续订的命令为 certbot renew

查看Linux系统还可发现，只有root可以操作/etc/letsencrypt/live目录。

编辑Nginx的配置文件，将证书信息更新到配置之中。

重新访问站点，如下图所示，表明HTTPS启用成功。

用户默认访问HTTP站点，为了让用户访问HTTP时自动跳转到HTTPS，需要编辑Nginx的配置文件，如下：

重新启动Nginx验证

使用certbot可以极大程度简化证书的获取过程，而自动化续订更是极大的方便了系统运维人员，并确保站点始终安全运行。

据调查，29%的TLS应用都使用了有效期为90天的证书，所以Let's Encrypt的证书有效期只有90天。有效期为90天和1年对数据加密并无影响，但较短的有效期能够降低证书被盗用的风险，并且有助于推动证书续订自动化。

通过查看证书的详细信息，可以发现免费签发的证书是只验证域名所有权，而不验证所有者和机构的。所以这类证书也叫做DV（Domain Validated）证书。校验所有者的证书叫做OV（Owner Validated）证书。此外，金融类等机构要求超级安全的证书,要求更加严格的身份验证标准，也叫EV（Extend Validated）证书。

网站启用https是大势所趋，如Chrome将拥有自己专有的SSL根证书书库、Mozilla在新发布的Firefox 83稳定版更新中加入了HTTPS-Only模式、国家出台了《个人信息保护法》等这些例子无一不告诉我们网站实行https加密势在必行！网站实现https加密可以减少流量被劫持和被篡改的几率。除了能保障网站信息的安全，还能有助于SEO优化，谷歌早就将https作为排名考虑的因素之一，百度也对https页面优先收录、优先排名。https证书如何申请呢？

购买SSL证书

个人网站和小微企业可以申请DV SSL证书，从申请到签发，30分钟就能完成；

政府机构、企业、事业单位等组织可申请 OV SSL证书，它不仅能实现基本的 https 加密，还能验证企业的真实性，提高网站的信任等级；

电商、银行、支付机构等涉及到金融方面的组织可以申请EV SSL证书，它除了能满足 DV、OV型 SSL证书的功用，在浏览器上还有一个绿色地址栏，让访客在访问网站时能够更加有信心。

这三种证书均可在沃通CA官网wwwwosigncom上申请，除此之外沃通CA还有各种多域名SSL证书和各种通配符SSL证书，能够满足客户的多样化需求。

部署SSL证书

若您是在沃通CA购买的SSL证书，我们专业的技术人员会远程帮您把SSL证书部署到您的服务器上，并会给您提供一系列的技术支持，帮您实现SSL与您服务器之间的完美融合。

代码改动

成功安装SSL证书后，网页的https版本就能够访问了。但有时候浏览器还是会提示连接不安全、此页面的部分内容（例如图像）不安全等等警告内容，这个因为当前的域名虽然部署了SSL证书，但是部署了SSL证书的网站引用了一些没有部署SSL证书的网站的资源，例如，下载，CSS样式等等。这个时候，我们需要重新获取这些资源的https链接即可。

想要将HTTP站点转换成HTTPS，必须申请并安装SSL证书才能实现。SSL证书申请流程如下：

第一步：将CSR提交到代理商

CSR(Certificate Signing Request)文件必须由用户自己生成，也可以利用在线CSR生成工具。选择要申请的产品，提交一个新的订单，并将制作好的CSR文件提交。

第二步 资料提交到CA

当收到您的订单和CSR后，如果是域名验证型证书(DV SSL证书)，在域名验证之后10分钟左右就可颁发证书，若是其他类型证书则是需要通过CA机构进行验证之后才可颁发。

第三步 发送验证邮件到管理员邮箱

权威CA机构获得资料后，将发送一封确认信到管理员邮箱，信中将包含一个 对应的链接过去。每一个订单，都有一个唯一的PIN以做验证用。

第四步 邮件验证

点击确认信中的链接，可以访问到CA机构验证网站，在验证网站，可以看到该订单的申请资料，然后点击”I Approve”完成邮件验证。

第五步 颁发证书

在用户完成邮件验证之后，CA机构会将证书通过邮件方式发送到申请人自己的邮箱，当用户收到证书后直接安装就可以了。若安装存在问题，安信SSL证书是提供免费证书安装服务的。

TLS 12要求服务器配置文档：https://wwwgworgcom/ssl/277html。

一台能保证24小时不断电的电脑，一根固定IP地址的光纤，一个域名，安装Windows 2003系统就可以架设服务器了。

下面我们来通过Windows Server 2003提供的POP3服务和SMTP服务架设小型服务器来满足我们的需要。

一、安装POP3和SMTP服务组件

Windows Server 2003默认情况下是没有安装POP3和SMTP服务组件的，因此我们要手工添加。

1安装POP3服务组件

以系统管理员身份登录Windows Server 2003 系统。依次进入“控制面板→添加或删除程序→添加/删除Windows组件”，在弹出的“Windows组件向导”对话框中选中“电子服务”选项，点击“详细信息”按钮，可以看到该选项包括两部分内容：POP3服务和POP3服务Web管理。为方便用户远程Web方式管理服务器，建议选中“POP3服务Web管理”。

2安装SMTP服务组件

选中“应用程序服务器”选项，点击“详细信息”按钮，接着在“Internet信息服务（IIS）”选项中查看详细信息，选中“SMTP Service”选项，最后点击“确定”按钮。此外，如果用户需要对服务器进行远程Web管理，一定要选中“万维网服务”中的“远程管理（HTML）”组件。完成以上设置后，点击“下一步”按钮，系统就开始安装配置POP3和SMTP服务了。

二、配置POP3服务器

1创建域

点击“开始→管理工具→POP3服务”，弹出POP3服务控制台窗口。选中左栏中的POP3服务后，点击右栏中的“新域”，弹出“添加域”对话框，接着在“域名”栏中输入服务器的域名，也就是地址“@”后面的部分，如“xxx”，最后点击“确定”按钮。其中“xxx”为在Internet上注册的域名，并且该域名在DNS服务器中设置了MX交换记录，解析到Windows Server 2003服务器IP地址上。

2创建用户邮箱

选中刚才新建的“xxx”域，在右栏中点击“添加邮箱”，弹出添加邮箱对话框，在“邮箱名”栏中输入用户名，然后设置用户密码，最后点击“确定”按钮，完成邮箱的创建。

三、配置SMTP服务器

完成POP3服务器的配置后，就可开始配置SMTP服务器了。点击“开始→程序→管理工具→Internet信息服务（IIS）管理器”，在“IIS管理器”窗口中右键点击“默认SMTP虚拟服务器”选项，在弹出的菜单中选中“属性”，进入“默认SMTP虚拟服务器”窗口，切换到“常规”标签页，在“IP地址”下拉列表框中选中服务器的IP地址即可。点击“确定”按钮，这样一个简单的服务器就架设完成了。

完成以上设置后，用户就可以使用客户端软件连接服务器进行收发工作了。在设置客户端软件的SMTP和POP3服务器地址时，输入服务器的域名“xxx”即可。

四、远程Web管理

Windows Server 2003还支持对服务器的远程Web管理。在远端客户机中，运行IE浏览器，在地址栏中输入“https：//xxx：8098”，将会弹出连接对话框，输入管理员用户名和密码，点击“确定”按钮，即可登录Web管理界面。