2024年5月19日发(作者：)

System Management

系统维护与管理

责任编辑：季莹 投稿信箱：

netadmin@

HTTPS安全网站的搭建

■ 河北科技师范学院 赵学作 秦皇岛市睿讯网络科技有限公司 赵少农

网站没有使

用HTTPS时，浏

览器会报不安

全，而且在别人

访问该网站时，很有可能会

被运营商劫持。

压，找到压缩后的目录里的

“/IIS/”目录下的server.

pfx文件，放到服务器中。

编者按：HTTPS是以安全为目标的HTTP通道，用于安全

的HTTP数据传输。现在它被广泛用于万维网上安全敏

感的通讯，例如交易支付方面。

安

装服务器证书

复制

、

文件到 Nginx

安装目录下的 conf 目录。

打开 Nginx 安装目录下

conf 目录中的

文件

找到如止下内容：

#HTTPS server

#

#server {

# listen 443;

# server_name

localhost;

# ssl on;

# ssl_certificate

;

# ssl_certificate_

key ;

# ssl_session_

timeout 5m;

# ssl_protocols

SSLv2 SSLv3 TLSv1;

# ssl_ciphers AL

L:!ADH:!EXPORT56:R

C4+RSA:+HIGH:+MED

申请CA证书

如果要启用HTTPS，需

要从证书授权机构处获取

一个证书，便宜SSL是一家

国内的SSL证书提供商，从

ssl.

com/#/order/buy就可以申

请拥有免费证书。登录后，

选择“体验版单域名SSL”的”

免费测试”,根据提示操作

并通过验证即可。

（2）进入IIS管理控

制台的服务器证书管理页

面，右键选择“导入”，选择

文件，并输入密

钥文件保护密码（即IIS/目

录下的中的

密码内容），并勾选“标志此

密钥为可导出”，否则有些情

况可能会无法完成证书安

装。。

（3）选中需要配置证书

的站点，并选择右侧“编辑站

获取服务器证书文件

下载证书ZIP压缩包，

会得到多个证书，包括：IIS、

Apache、Tomcat、Nginx等多

种WEB服务器的证书。

点”下的“绑定” ，选中您刚

才安装的服务器证书文件 ，

配置默认的https访问端口

443，重启IIS并使用https

方式访问测试站点证书安

装。 （一定保证防火墙允许

443端口）。

（4）重启动IIS后即可

以https方式访问此网站了。

搭建HTTPS安全网站

s IIS7/8安装

（1）将证书压缩包后解

100

2019.09

责任编辑：季莹 投稿信箱：

netadmin@

系统维护与管理

System Management

IUM:+LOW:+SSLv2:+EXP;

# ssl_prefer_server_

ciphers on;

# location / {

# root html;

# index

;

# }

#}

将其修改为

server {

listen 443;

server_name

localhost;

ssl on;

ssl_certificate

;

ssl_certificate_key

;

ssl_session_timeout

5m;

ssl_protocols TLSv1

TLSv1.1 TLSv1.2;

ssl_ciphers ECDH:AES

GCM:HIGH:!RC4:!DH:!MD5:!

aNULL:!eNULL;

ssl_prefer_server_

ciphers on;

location / {

root html;

index

;

}

}

保存退出，并重启

Nginx。

通过 https 方式访问您

的站点，测试站点证书的安

装配置。

该路径下，保存退出，并重启

Apache。

另外，建议在httpd-

里进行如下操作：

（1）添加SSL 协议支持

语句，关闭不安全的协议和

加密套件:

SSLProtocol all

-SSLv2 -SSLv3

（2）修改加密套件如下:

SSLCipherSuite AESGCM

:ALL:!DH:!EXPORT:!RC4:+H

IGH:!MEDIUM:!LOW:!aNULL:

2.2.* 的配置

打开apache安装目录下

conf目录中的

文件，找到

#LoadModule ssl_

module modules/mod_ssl.

so

#Include conf/extra/

删除行首的配置语句注

释符号“#” ，保存退出。

打开apache安装目录

下conf/extra目录中的

文件 ，在配

置文件中查找以下配置语句

SSLCertificateFile

conf//

#将服务器证书配置到该路

径下

SSLCertificateKeyFile

conf//

#将服务器证书私钥配置到

该路径下

#SSLCertificateChainF

ile conf//

删除行首的“#”号注释符，

并将CA证书 配置到

!eNULL;

SSL证书配置

请准备好.jks文件 定

位到tomcat的安装目录，找

到conf下的文

件，找到相应的代码，按照您

服务器实际情况修改配置文

件：

protocol="HTTP/1.1"

SSLEnabled="true"

maxThreads="150"

scheme="https"

secure="true"

clientAuth="false"

sslProtocol="TLS"

keystoreFile="keysto

"

【下转第102页】

2019.09

101

System Management

系统维护与管理

责任编辑：季莹 投稿信箱：

netadmin@

NFS服务的用户身份映射

■ 烟台 曲广平

NFS（Network

编者按：NFS服务虽然在CentOS7.6系统中采用的是目

File System，网

络文件系统）主

要用于Linux以

及类UNIX系统

之间的文件共

享。它采用C/S工作模式，

在NFS服务器上将某个目录

设置为共享目

录，然后在客户

端可以将这个

目录挂载到本

地使用。

笔者准备了

两台Linux虚拟机来搭建实

前最新的NFSv4版本，但由于NFS服务本身比较简单，所

以如果对NFS服务设置不当，将会在企业网络中产生比

较严重的安全隐患。本文就NFS服务的用户身份映射问

题进行了分析，并给出了推荐的配置和使用方法。

【上接第101页】

#LoadModule ssl_

module modules/mod_ssl.

so #删除行首的配置语句

注释符号“#”。

#Include extra/httpd-

#将这行的注释

的“#”去掉

编辑extra/httpd-ssl.

conf文件，修改如下内容：

ServerName 后面改成你

的网站域名，可不带端口号

DocumentRoot后面改成

网站路径

SSLCertificateFile 后

面改成文件路

径

SSLCertificateKeyFile

后面改成文件

路径

SSLCertificateChainFi

le 后面改成文件路

径

ErrorLog 这行开头的可

以注释掉(前面加#号）

TransferLog 这行开头

的可以注释掉(前面加#号）

CustomLog 这行开头的

可以注释掉(前面加#号）

phpstudy配置指定路径

访问https（此步可以不做）。

RewriteEngine on

RewriteCond

%{REQUEST_URI} /homework

RewriteRule^(.*)?$

%{SERVER_

NAME}$1[L,R]

保存退出，并重启

Apache。

keystorePass="password.

txt中的密码内容"

ciphers="TLS_RSA_

WITH_AES_128_CBC_

SHA,TLS_RSA_WITH_

AES_256_CBC_SHA,TLS_

ECDHE_RSA_WITH_AES_128_

CBC_SHA,TLS_ECDHE_

RSA_WITH_AES_128_CBC_

SHA256,TLS_RSA_WITH_

AES_128_CBC_SHA256,TLS_

RSA_WITH_AES_256_CBC_

SHA256"

/>

dy环境如何安

装SSL

修改apache目录下的

配置文件。

102

2019.09