泛域名ssl证书搭建全攻略

 

无忧在线项目管理(www.5upm.com)是禅道开发团队给大家提供的一款在线的项目管理服务，它提供了禅道软件专业版本的功能，同时内置了subversion和git的源码托管服务，这样创业型团队或者跨地域团队就可以异地办公，实现跨地域的协同管理。

在实际运营无忧在线过程中，安全是很多客户比较关心的问题。对于这个问题我们通过很多种手段来加以解决，比如操作系统层面，应用程序层面等等。最近无忧在线项目管理又上线了https访问功能，进一步加强了无忧在线的安全性。

下面是笔者配置无忧在线https访问的过程，谨供大家参考。

一、https协议简介

我们平常访问网站默认使用的是http协议，但http协议是没有加密的，所有的内容都是以明文的方式在网络上进行传输，安全性无妨保证。https协议则很好的解决了这个问题。

根据维基百科（http://zh.wikipedia.org/wiki/HTTPS）的介绍，HTTPS的主要思想是在不安全的网络上创建一安全信道，并可在使用适当的加密包和服务器证书可被验证且可被信任时，对窃听和中间人攻击提供合理的保护。

HTTPS的信任继承基于预先安装在浏览器中的证书颁发机构（如VeriSign、Microsoft等）（意即“我信任证书颁发机构告诉我应该信任的”）。因此，一个到某网站的HTTPS连接可被信任，当且仅当：

用户相信他们的浏览器正确实现了HTTPS且安装了正确的证书颁发机构；

用户相信证书颁发机构仅信任合法的网站；

• 被访问的网站提供了一个有效的证书，意即，它是由一个被信任的证书颁发机构签发的（大部分浏览器会对无效的证书发出警告）；
• 该证书正确地验证了被访问的网站（如，访问https://example时收到了给“Example Inc.”而不是其它组织的证书）；
• 或者互联网上相关的节点是值得信任的，或者用户相信本协议的加密层（TLS或SSL）不能被窃听者破坏。

因此部署https协议访问最为关键的就是证书。下面来看下https证书的分类。

二、https(ssl)证书分类

2.1 从证书颁发机构来分

从证书的签发机构来分，可以分为自我签发和专业的CA认证机构签发两种。如果只是公司内部使用，可以采用自我签发的方式来生成ssl证书，优势是完全免费的，部署也方便快捷。但缺点是浏览器默认认为这个自我签发的证书是不被信任的，会弹出警告页面，提示用户进行确认。比如ie下面这提示这样的页面：

这种方式给客户提供服务就非常不好。所以还是要购买专业CA机构颁发的证书。

2.2 从证书认证等级来分

从证书认证的等级来分，ssl证书可以分为DV, OV和EV三种：

• DV是Domain Validation 的缩写，意思就是对网站域名所有权进行验证。CA认证机构会向域名持有者的邮箱发送相应的邮件，以确认证书和域名的所有权关系。其特点是简单快捷，价格便宜，缺点是无法保证网站经营者的身份，因此一般仅用来提供数据加密的功能。
• OV是Organization Validation 的缩写，这种证书在颁发的时候会对网站所有单位的身份进行证实行验证，所以一般电子商务类的网站往往会做OV的认证。价格当然也会比较昂贵，证书颁发周期也会比较久。
• EV是Extended Validation 的缩写，也是最严格的身份验证，当用户在访问通过EV认证的网站时候，浏览器的显示为绿色，当然价格也是相当的昂贵。:)

2.3 从证书适用域名个数来分

一个ssl证书都有其对应的域名，从其适用的域名个数来分可以分为单域名、多域名和泛域名证书。顾名思义，单域名证书只能适用于一个域名，多域名证书可以适用于多个域名。而泛域名证书，又称为通配符型(wildcard)证书，可以匹配*.domain.name这种形式。

我们无忧在线给客户提供的访问路径都是subdomin.5upm.com的形式，比如您申请一个abc的二级域名，那么访问无忧在线项目管理服务的网址就是http://abc.5upm.com。我们要解决的就是为每一位客户的二级域名提供安全的https访问服务，那么泛域名ssl证书就是我们的选择。

下面就是来选购ssl证书了。Ssl证书不同的厂商价格都有不同，我们在网上搜索了之后，找到了一个cheapssls.com的网站，它专门代理各个厂商的ssl证书，价格比较实惠，下面我们是我们在cheapssls.com网站上面购买证书、激活证书的全过程。

三、购买证书

3.1 注册用户

第一步是在cheapssls.com网站注册用户。访问cheapssls.com，选择页面右上角的"Sign in"链接，按照提示注册一个帐号，过程不再赘述。

3.2 选择厂商

注册完帐号之后，就可以来选择要购买的证书和厂商了。我们要购买的是泛域名证书，所以选择wildcard ssl certificates，如下图：

我们选择了RapidSSl提供的证书：

 

3.3 下订单

确定好证书类型和厂商之后，就可以下订单了：

一般购买的年份越多，折扣越低。笔者购买的这一款价格是98.99$，算起来还是比较实惠的。

3.4 支付

因为国外网站都使用美元结算，国内用户购买的话，可以通过信用卡或者paypal支付。信用卡需要带有mastcard或者visa标志的，这种信用卡是支持外币结算的。

笔者选择使用paypal支付：

然后根据页面的提示到paypal网站支付就可以了。支付成功之后，下一步的操作就是来激活证书了。

四、激活证书

4.1 生成csr文件 

激活证书之前需要在证书安装的服务器上面生成csr文件，linux下面可以openssl来创建下面的这些文件，基本的步骤和命令如下：

4.1.1 生成server.key文件。

首先调用openssl命令来生成server.key文件。

 

z@colinux:/tmp$ openssl genrsa -des3 -out server.key 2048

Generating RSA private key, 2048 bit long modulus

.................................................................................+++

..+++

e is 65537 (0x10001)

Enter pass phrase for server.key:

Verifying - Enter pass phrase for server.key:

 

其中需要注意的是加密强度要采用2048，同时命令还会让你输入一个保护key文件的密码。

4.1.2 根据server.key文件，生成server.csr文件

有了server.key文件之后，就可以来生成server.csr文件了。

 

z@colinux:/tmp$ openssl req -new -key server.key -out server.csr

Enter pass phrase for server.key:

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [AU]:CN

State or Province Name (full name) [Some-State]:ShanDong

Locality Name (eg, city) []:QingDao

Organization Name (eg, company) [Internet Widgits Pty Ltd]:QingDaoEasySoft

Organizational Unit Name (eg, section) []:Dev

Common Name (eg, YOUR name) []:*.5upm.com

Email Address []:chunsheng@cnezsoft.com

 

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

 

这个命令里面需要注意的地方：

• Country Name，填写CN，代表中国。
• State or Province Name，填写汉语拼音的省份即可。
• Locality Name，填写所在城市的汉语拼音即可。
• Organization Name，填写公司的汉语拼音即可。
• Organizational Unit Name, 填写所在的部门的汉语拼音。
• Common Name，这个是最关键的，需要填写ssl证书对应的域名，泛域名一定要写成*.doomain.com的形式。
• Email Address，填写联系人邮箱即可。

 

通过上面的命令，我们就可以生成server.csr文件了，下面的步骤就是用这个文件来申请激活证书了。

4.2 申请激活

还是回到cheapssl网站，登录系统，然后访问my ssl，选择购买的证书，激活：

会出现一个申请的表单：

在这个页面会让你选择服务器的类型，我们选择是apache + openssl。然后下面的文本框里面将刚才生成的server.key里面的内容拷贝进来，然后点击下一步，验证域名的所有者身份：

可以有几种类型，一种是通过你所申请的域名的邮箱，比如笔者用的5upm.com，那么就需要一个@5upm.net的邮箱，还有一种方式就是通过域名所有人的邮箱来进行验证。

选择了验证方式之后，，系统会提示已经激活成功，下面就是需要登录刚才填写的邮箱，确认这次申请。

这是收到的邮件的内容，点击里面的链接进行确认：

选择"I Approve"：

之后就会收到一封email，里面包含了正式的ssl证书和INTERMEDIATE CA文件。

这是ssl证书。

这是INTERMEDIATE CA文件。

下面就是配置apache来使用证书了。

五、配置证书

配置apache证书之前，需要下打开ssl模块，并配置apache监听443端口，在此不再赘述，网上有很多资料可以参考。将刚才通过邮件拿到的ssl文件和ca文件分别保存成server.crt和server.pem。这样加上我们之前生成的key和csr文件，我们总共有四个文件，server.key, server.csr, server.crt, server.pem，将这四个文件存放在一个目录下面，比如/etc/apaches/ssl/下面，然后配置apache的虚拟机：

 

  SSLEngine On

  SSLCertificateFile /etc/apache2/ssl/server.crt

  SSLCertificateKeyFile /etc/apache2/ssl/server.key

  SSLCertificateChainFile /etc/apache2/ssl/server.pem

  ServerAlias  *.5upm.com

  ServerAlias  *.5upm.cn

  DocumentRoot /var/www

  

  Options FollowSymLinks

  AllowOverride All

  

 

配置完成之后，重启apache，顺利的话，就可以通过https来访问了。下面是我们无忧在线的访问，地址栏已经变成了黄色的加密栏(不同浏览器显示不同)。