1. 前置条件
笔者主要做Java后端的开发,之前都不知道IIS是什么,大家可以认为是Windows环境下的Tomcat。网站的服务器在阿里云上,使用的是Windows server 2016。最开始我要做到的是在官网如http://www.a.com使用https://www.a.com能够访问,并且浏览器显示这个网站是安全的。
2. 连接远程服务器
因为使用的是阿里云的服务器,所以在Windows中远程连接输入正确的账户和密码后提示身份验证错误,要求的函数不受支持。
可以参看身份验证错误 要求的函数不受支持的解决方案。
本机器是win7按照上面的文章进入到策略管理器去后最后几个菜单都没有,无法操作。我在家里用win10的系统远程连接没有问题,系统不一样也会影响这一步。
最后我是按照远程连接身份验证错误,又找不到加密Oracle修正给出的方案解决的,主要是修改注册表。
之后大功告成,成功登陆到远程的服务器。
3. 阶段任务
这阶段的任务是了解我需要什么东西,然后我要做什么。
3.1 SSL证书的申请
证书在阿里云上可以直接申请免费的一年证书,值得注意的是一级域名的非通赔证书不能适用于二级证书,也可以单独为某个二局域名申请一个普通的证书。
这部分就不细叙述了,给大家贴几篇参考文章。
1.HTTPS证书只能是一级域名吗?
3.2 SSL证书的下载与导入
证书通过审核后,可以在阿里云的控制台里选择合适的服务器版本下载,如我在这里就是下载的IIS版本,还有其他的Tomcat版本等。下载后的文件夹是一个压缩包,里面有一个证书和txt文件,txt文件里就是导入证书时需要输入的密码。
如何导入SSL证书,不同的IIS版本导入证书的方式也不同,阿里云上有IIS6/7的操作文档,但是和IIS10还是有很大的区别,IIS10可以参看这篇操作文章。
3.3 新建网站并测试
新建了一个网站实例,编辑绑定选择HTTPS的方式,先前已经有另外一个同事把两个证书导入进去了,类似www.a.com的证书和a.com的证书,值得注意的是这两个证书是一个普通的单证书,非通配式的。如我们查看CSDN的证书类型:
可以看到CSDN的证书是一个通配证书。
3.4 证书只能匹配一个的问题
在我进行调试的过程中,因为要对不同的域名设定对应的证书,如a.com的证书不能匹配到www.a.com上,只能配给a.com。
我发现每次只能匹配上一个,修给了一个确定后另外一个就错了。
因为HTTPS默认是只能绑定一个证书的,如果要绑定多个证书需要使用到SNI这项技术,在进行配置绑定的时候,在IIS10中,勾选需要服务器名称提示即可,勾选后两个绑定都能匹配到对应的证书。
3.5 如何进行简单测试?
首先我自己直接写了一个静态的html页面,里面写上一句简单的话,然后创建网站编辑绑定并使用服务器名称提示。
之后绑定默认页,输入默认页的全称,再打开存放静态页面的文件夹,自动生成了一个配置文件,里面配置了首页的信息指向我写的html。
进行测试却跑不通,完全不知道是什么问题,查资料后猜测端口443的开放问题。
阿里云默认是没有开放443端口的,所有要进入到阿里云控制台中找到安全组策略中,找到安全组管理的实例,对外网入网开放443端口。
之后进行测试,我写的页面能够以HTTPS的方式访问,如a.com和www.a.com都可以访问到我写的静态页,查看证书也没有问题。
3.6 对网站进行全站HTTPS测试
之前测试的证书和端口都没有问题,现在新建网站实例将目录对应到网站的工程项目中,但是显示500错误,证书安全没有问题。
按照IIS负载均衡-Application Request Route详解第六篇:使用失败请求跟踪规则来诊断ARR这篇文章进行测试,发现最后报出的错是:
ERROR MODULE_SET_RESPONSE_ERROR_STATUS
基本可以定位到问题出在这个项目中,这个网站使用.NET搭建的,所以我不是很懂,查看文件夹后发现使用到一个开源的CDN,因为如果使用到CDN的服务,也需要在CDN中配置SSL证书。
到目前为止还没有解决全站的HTTPS化,这个任务不是时间不急,但是交给我来完成了,之后抽时间准备研究下这个开源的CDN到底是怎么回事。
如有错误,请留言交流共同进步。
更新于2019.03.23
以下列出几篇对我帮助较大的文章:
1.从 HTTP 到 HTTPS - IIS 部署免费 HTTPS
2.CDN and SSL/TLS
3.CDN SSL/TLS | CDN Security
4. 443端口在同一IP中的多个域
5. 阿里云官方:证书部署到云产品常见问题
阿里云大神深度分析:
1.CDN 的 HTTPS 相关问题及处理思路