SSL证书部署实践

       目前很多站点都部署了证书，保证了数据传输的的安全。我的个人站点没想过用证书，可是最近发现浏览器地址栏前方显示“不安全”三个字，看着很不爽今天就把他给干掉。

       我申请了一个免费的证书，如果商用不建议使用免费证书。证书的厂家很多，根据个人情况选择，操作也是很简单快捷。

        1、下载证书；      

        2、证书导入IIS；

点击服务器证书，进入服务器证书页面

在服务器证书的右上方点击导入

选择证书，输入证书密码，点击确认

        3、配置站点

                   选择类型为：https

                        端口默认：443

                        主机名：填写域名

                        SSL证书：选择导入的证书

                        注：如果IIS需要配置多个证书，需勾选 “需要服务器名称指示”

        到这步站点已是支持https访问，我还遇到一些问题：

            1、http 未自动跳转至 https

            2、证书检测评级低

解决http 未自动跳转至 https

1、下载安装重写插件

2、选择需要配置的站点，先绑定域名http 跟https 域名：

3、打开URL 重写添加规则：

点击URL重写

4、创建重写规则

5、编辑规则：

        点击右上角的引用，再试试用http去访问就可以跳转至https。这是其中一种方法，还有其他方法可以使用，比如修改配置文件；

解决证书评级低

      我这里是使用站长之家的HTTPS检测工具进行检测的，第一次检测评级是6，如下图：

       检测提示因为使用了RC4密码套件，参考了悠悠域名上的解决方法成功解决这个提示。是需要通过修改注册表关闭不安全的支持，复制下列代码 保存为  .reg 文件格式，双击运行 直接导入注册表，完成后重启服务器

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
"Enabled"=dword:00000000

再次检测域名，检测结果如下图：

很明显评级从6提升至8了，但是PCI DSS 显示不合规，我们也把他解决一下。出现这个的原因主要是因为我们IIS启用了TSL1.0，把他禁用就行。这里我是使用了IISCrypto工具，去掉TSL1.0的选项，重启电脑

再次检测域名

这里显示PCI DSS 已经合规了，但等级依旧没有提升。应该是我使用的免费证书，最高评级就是8。

至此，我们的目标已达到，浏览器地址栏中没有显示“不安全