SSL證書
# FastWeb SSL證書
FastWeb除支援http訪問外,還支援使用SSL/TLS加密的http訪問(https)。在預設情況下FastWeb已開啟使用https訪問,您可以輸入https://localhost:8443 (opens new window) 來打開頁面。
由於瀏覽器的安全策略限制,使用上述名稱進行訪問時會彈出提示界面資訊。
在上述界面中,點選 [高級] 按鈕,展開功能表顯示項,點選 繼續前往localhost(不安全),就可在https下訪問FastWeb的管理界面。
# 1. 為什麼需要SSL/TLS?
不使用SSL/TLS的http通訊是一種不安全的通訊方式,即傳輸的所有資訊都是使用明文進行傳輸的,這會使HTTP的連線容易被第三方獲取竊聽甚至篡改。而SSL/TLS的引入就是爲了解決上述問題,基於SSL/TLS的HTTP通訊都是加密的,且通訊的雙方是通過證書進行身份確認,能夠最大幅度減少連線被竊聽與篡改的風險。
# 2. 哪種情況需要SSL/TLS?
如果FastWeb是部署在區域網中,且不提供對外訪問服務的話,可不使用SSL/TLS訪問,如果有部分功能需要使用SSL/TLS,可使用本文開頭的方法進行訪問。
如果計劃將FastWeb部署在可公開訪問的伺服器上,且需要開放訪問的,強烈建議使用SSL/TLS以保證通訊的安全。
# 3. 所需準備
如果計劃將FastWeb部署在公開訪問的伺服器上,且開放訪問,需要做好以下內容。
- 在域名服務商處申請好域名。
- 申請證書,獲取到證書檔案。
- 做好域名解析,將域名解析至訪問的伺服器。
- 設定SSL,開啟訪問。
# 3.1. 申請域名
申請域名的方法此處不再展開,您可以訪問各大域名服務商的網站,根據指引提示來完成域名的申請,並做好域名解析工作。
# 3.2. 申請證書
以下將使用 https://freessl.cn/ (opens new window) 為例申請免費的證書,如有更高的安全性需求可選擇域名服務商推薦的收費證書服務。
訪問以上網站后,建議先註冊使用者登錄之後進行下述操作,在欄位中輸入要申請的域名。品牌選擇第二個選項,然後點選 建立免費的SSL證書。
在第二個界面中輸入郵箱地址,確認爲以下的選項,選擇點選建立。
建立成功后,會提示將私鑰下載至本地進行儲存,同時界面會提示將解析記錄新增至域名處。以下為顯示的示例。
在域名解析服務商處填寫記錄示例並儲存:
返回至驗證界面,點選 配置完成,檢測一下,打開新的網頁,在界面中進行測試檢視記錄是否已成功解析。
確認無誤后,返回原網頁點選 點選驗證。隨後系統會驗證並簽發SSL證書。點選 下載檔案 將證書、私鑰等下載至本地。建議此處將CA證書、證書與私鑰分別複製到空白的文字檔案中,並分別重新命名為 root.pem(CA證書) 、cert.pem(證書) 與 key.pem(私鑰)。
# 3.3. 部署證書
將以上的檔案複製至FasWeb的安裝目錄(例如C:\Program Files\IsoFace\FastWeb\)下,覆蓋預設設定的三個檔案。
重新啟動FastWeb,在https下訪問域名,檢視效果,如果瀏覽器的位址列出現鎖的標記,且無其它提示資訊,即SSL部署成功。