01、關(guān)于 FreeSSL.cn

FreeSSL.cn 是一個(gè)免費(fèi)提供 HTTPS 證書申請(qǐng)、HTTPS 證書管理和 HTTPS 證書到期提醒服務(wù)的網(wǎng)站，旨在推進(jìn) HTTPS 證書的普及與應(yīng)用，簡(jiǎn)化證書申請(qǐng)的流程。

博白網(wǎng)站制作公司哪家好，找成都創(chuàng)新互聯(lián)公司！從網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、響應(yīng)式網(wǎng)站開發(fā)等網(wǎng)站項(xiàng)目制作，到程序開發(fā)，運(yùn)營(yíng)維護(hù)。成都創(chuàng)新互聯(lián)公司于2013年成立到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來(lái)保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選成都創(chuàng)新互聯(lián)公司。

當(dāng)然了，我看重的不是免費(fèi)，而是 FreeSSL 使用起來(lái)非常人性化。我是一個(gè)計(jì)算機(jī)常識(shí)非常薄弱的程序員（羞愧一下），但通過 FreeSSL，我竟然可以獨(dú)自完成 Tomcat 的 HTTPS 配置！

很多年以前，公司要做華夏銀行的接口對(duì)接，需要 HTTPS 訪問，大概花了 3000 塊買的證書，最后證書還有問題，HTTPS 也沒搞定?？傊?，坑的很！

cdn.xitu.io/2019/5/9/16a9b200d2d271cf?w=711&h=504&f=png&s=29239">

FreeSSL.cn 有很大的不同，申請(qǐng)非常便捷，優(yōu)點(diǎn)很多，值得推薦一波。畢竟再也不用郵件、電話各種聯(lián)系了（也許時(shí)代進(jìn)步了）。

• 100% 永久免費(fèi)；這要感謝 Let's Encrypt 與 TrustAsia 提供的免費(fèi) SSL 證書。

• 在 HTTPS 證書到期前，F(xiàn)reeSSL.cn 會(huì)及時(shí)地提醒更換證書，免費(fèi)的服務(wù)。

• 私鑰不在網(wǎng)絡(luò)中傳播，確保 HTTPS 證書的安全。

02、使用 ?FreeSSL 申請(qǐng)證書

第一步，填寫域名，點(diǎn)擊「創(chuàng)建免費(fèi)的 SSL 證書」

第二步，填寫郵箱，點(diǎn)擊「創(chuàng)建」

1）證書類型默認(rèn)為 RSA

RSA 和 ECC 有什么區(qū)別呢？可以通過下面幾段文字了解一下。

HTTPS 通過 TLS 層和證書機(jī)制提供了內(nèi)容加密、身份認(rèn)證和數(shù)據(jù)完整性三大功能，可以有效防止數(shù)據(jù)被監(jiān)聽或篡改，還能抵御 MITM（中間人）***。TLS 在實(shí)施加密過程中，需要用到非對(duì)稱密鑰交換和對(duì)稱內(nèi)容加密兩大算法。

對(duì)稱內(nèi)容加密強(qiáng)度非常高，加解密速度也很快，只是無(wú)法安全地生成和保管密鑰。在 TLS 協(xié)議中，應(yīng)用數(shù)據(jù)都是經(jīng)過對(duì)稱加密后傳輸?shù)?，傳輸中所使用的?duì)稱密鑰，則是在握手階段通過非對(duì)稱密鑰交換而來(lái)。常見的 AES-GCM、ChaCha20-Poly1305，都是對(duì)稱加密算法。

非對(duì)稱密鑰交換能在不安全的數(shù)據(jù)通道中，產(chǎn)生只有通信雙方才知道的對(duì)稱加密密鑰。目前最常用的密鑰交換算法有 RSA 和 ECDHE：RSA歷史悠久，支持度好，但不支持 PFS（Perfect Forward Secrecy）；而 ECDHE 是使用了 ECC（橢圓曲線）的 DH（Diffie-Hellman）算法，計(jì)算速度快，支持 PFS。

2）驗(yàn)證類型默認(rèn)為 DNS

DNS和文件驗(yàn)證有什么區(qū)別呢？我們?cè)賮?lái)一起了解下。

首先，我們需要明白一點(diǎn)，CA（Certificate Authority，證書頒發(fā)機(jī)構(gòu)） 需要驗(yàn)證我們是否擁有該域名，這樣才給我們頒發(fā)證書。

文件驗(yàn)證（HTTP）：CA 將通過訪問特定 URL 地址來(lái)驗(yàn)證我們是否擁有域名的所有權(quán)。因此，我們需要下載給定的驗(yàn)證文件，并上傳到您的服務(wù)器。

DNS 驗(yàn)證：CA 將通過查詢 DNS 的 TXT 記錄來(lái)確定我們對(duì)該域名的所有權(quán)。我們只需要在域名管理平臺(tái)將生成的 TXT 記錄名與記錄值添加到該域名下，等待大約 1 分鐘即可驗(yàn)證成功。

所以，如果對(duì)服務(wù)器操作方便的話，可以選擇文件驗(yàn)證；如果對(duì)域名的服務(wù)器操作比較方便的話，可以選擇 DNS 驗(yàn)證。如果兩個(gè)都方便的話，請(qǐng)隨意選啦。

3）CSR生成默認(rèn)為離線生成

離線生成、瀏覽器生成和 我有 CSR又有什么區(qū)別呢？來(lái)，我們繼續(xù)了解一下。

離線生成^推薦!!!：私鑰在本地加密存儲(chǔ)，更安全；公鑰自動(dòng)合成，支持常見證書格式轉(zhuǎn)換，方便部署；支持部分 WebServer 的一鍵部署，非常便捷。

離線生成的時(shí)候，需要先安裝 KeyManager，可以提供安全便捷的 SSL 證書申請(qǐng)和管理。下載地址如下：
https://keymanager.org/

Windows 的話，安裝的時(shí)候要選擇“以管理員身份運(yùn)行”。

瀏覽器生成：在瀏覽器支持 Web Cryptography 的情況下，會(huì)使用瀏覽器根據(jù)用戶的信息生成 CSR 文件。

Web Cryptography，網(wǎng)絡(luò)密碼學(xué)，用于在 Web 應(yīng)用程序中執(zhí)行基本加密操作的 JavaScript API。很多瀏覽器并不支持

我有 CSR：可以粘貼自己的 CSR，然后創(chuàng)建。

第三步，選擇離線生成，打開 KeyManager

填寫密碼后點(diǎn)擊「開始」，稍等片刻，出現(xiàn)如下界面。

第四步，返回瀏覽器，點(diǎn)擊「下一步」，出現(xiàn)如下界面。

第五步，下載文件，并上傳至服務(wù)器指定目錄下。

第六步，點(diǎn)擊「驗(yàn)證」，通過后，出現(xiàn)以下界面。

第七步，點(diǎn)擊「保存到KeyManager」，可以看到證書狀態(tài)變成了已頒發(fā)。

03、為 Tomcat 配置 jks 格式證書

第一步，導(dǎo)出證書。假如服務(wù)器選擇的 Tomcat，需要導(dǎo)出 Java keystone （簡(jiǎn)拼為 jks）格式的證書。

注意：私鑰的密碼在配置 Tomcat 的時(shí)候用到。

第二步，上傳證書至服務(wù)器。

第三步，配置 Tomcat 的 server.xml。

?????????????????????????maxThreads="250"?maxHttpHeaderSize="8192"?acceptCount="100"?connectionTimeout="60000"?keepAliveTimeout="200000"
????????????????????????redirectPort="8443"????????????
????????????????????????useBodyEncodingForURI="true"?URIEncoding="UTF-8"??
????????????????????????compression="on"?compressionMinSize="2048"?noCompressionUserAgents="gozilla,?traviata"???
????????????compressableMimeType="text/html,text/xml,application/xml,application/json,text/javascript,application/javascript,text/css,text/plain,text/json,image/png,image/gif"/>

??protocol="org.apache.coyote.http11.Http11NioProtocol"
??port="443"?maxThreads="200"
??scheme="https"?secure="true"?SSLEnabled="true"
??keystoreFile="/home/backup/qingmiaokeji.cn.jks"?keystorePass="Chenmo"
??clientAuth="false"?sslProtocol="TLS"
useBodyEncodingForURI="true"?URIEncoding="UTF-8"??
????????????????????????compression="on"?compressionMinSize="2048"?noCompressionUserAgents="gozilla,?traviata"???
????????????compressableMimeType="text/html,text/xml,application/xml,application/json,text/javascript,application/javascript,text/css,text/plain,text/json,image/png,image/gif"
/>

其中 keystorePass 為導(dǎo)出證書時(shí)私鑰的加密密碼。

第四步，重啟 Tomcat，并在瀏覽器地址欄中輸入 https://qingmiaokeji.cn/ 進(jìn)行測(cè)試。

注意到?jīng)]，瀏覽器地址欄前面有一個(gè)綠色的安全鎖，這說明 HTTPS 配置成功了！好了，為自己鼓個(gè)掌！

04、最后

你有沒有買個(gè)五分鐘的時(shí)間沙漏？如果超過五分鐘 HTTPS 還沒有配置成功，你過來(lái)揍我！