https证书是由可信的CA机构签发的一种数字证书,用来改变网站传统的不安全的http模式。https证书也可以自己搭建CA平台来签发,但这种属于不可信证书,浏览器会报“不安全”等警告。本位今天讲述从环度网信申请可信的https证书。
由于 http 已经被很多平台不友好对待,例如很多浏览器对 http 提示“不安全”甚至直接拦截,因此,https 几乎已经成为网站上线必备的元素。
那么如何来做 https 证书呢?
1、确定需要 https 的域名。
https证书也就是SSL证书,我们首先要确定好需要 https 安全连接的域名,如果有多个域名需要 https,则可以选择多域名SSL证书或者通配符SSL证书,还有环度网信力推的 Flex 模式证书(即可以在一张SSL证书中随时添加需要https的全域名或者通配符域名。)。
2、确定https对于网站的业务场景,选择适合您的SSL证书级别。
个人站点、博客、api 等:可以选择 DV 级别的SSL证书。这种证书不需要提供组织鉴证,证书中也没有组织名称,只是一个单纯的 https 加密,实现了网站从不安全的 http 到安全的 https 的升级;
一般企事业单位:可以选择 OV 级别的SSL证书。这种证书在使用者名称字段里面有单位名称信息,对比 DV 证书,OV 证书具有身份信息,可以有效的提升网站的可信度;
金融证券、电商、支付、品牌官网等:可以选择 EV 级别的 SSL证书。这种证书又叫扩展验证SSL证书,它在 OV 级别的SSL证书基础上,增加了证书鉴证的范围。同时,很多浏览器给予了 EV 证书一些特别的展示形式:
3、选择合适的 CA 证书品牌
环度网信提供了国外国内各种品牌的SSL证书,比如 DigiCert、Secure Site、Geotrust、RapidSSL、GobalSign、Sectigo 等,以及各种国产SSL证书,例如CFCA、上海CA等。这些 CA 品牌各有特点,尤其是国外品牌和国内品牌,有许多细节上的差异。在很多单位,有网络安全产品国产化的要求,因此,国产SSL证书有时候也很“俏”。
4、提交SSL证书订单
在环度网信官网在线提交SSL证书订单,整个流程按照环度网信证书管理系统的提示进行,包括生成CSR等,无须专业知识,按照界面提示逐个“下一步”进行即可。
5、配合验证
证书申请提交之后,一般需要验证域名的管理权。OV 和 EV 证书还需要验证组织信息。但这两项通常都很简单,按照环度网信证书里面的系统提示验证即可。一般情况下,当天即可完成验证。特殊情况,例如域名验证需要走流程、没有现成的登记在可信平台的有效联系方式、公司成立未满 3 年需要增加验证项目、经办人与黑名单中的名字相同需要进一步确认等等情况,都会让证书延迟签发,但环度网信会给您人性化的协助,帮您早日签发证书。
6、部署证书到服务器,实现 http 到 https 的升级。
证书批准之后,您可以在环度网信的后台直接下载。环度网信会根据您的服务器类型,例如 Nginx、Tomcat、IIS、Apache 等,协助您将证书安装部署到对应的服务器上,并调试 https 模式,使之正常的以 https 模式为用户提供相应的服务。
