知識庫 : SSL 憑證

今天來告訴大家如何使用cPanel申請免費的SSL憑證,讓我們一起往下看吧 

▲為什麼要申請SSL憑證

1.加強客戶對網站的信任度

2.加強網站安全性

3.增加搜尋引擎網站排名 (*付費SSL>免費SSL>完全沒申請)

遠振有兩種免費憑證可以申請,差別只在於憑證的簽發者不同而已。

1.SSL/TLS Status

是由cPanel所提供的憑證服務。

2.Let's Encrypt SSL

Let's Encrypt 是由 Internet Security Research Group (ISRG) 提供的憑證服務,ISRG 是非營利組織,致力於推廣網路安全通訊,並減少網路安全通訊中包含財務、科技與教育的各種推廣障礙。

■以上免費的憑證期限為 3個月,憑證到期前一個月,系統會自動重新申請。


安裝步驟可參考以下方式:

1.SSL/TLS Status

Step1.登入cPanel→下拉到安全性欄位內點選「SSL/TLS Status」


Step2. 點選「需要使用的網域」→按「執行AutoSSL」等待執行後,此憑證過期後將會透過AutoSSL重新頒發。

 


2.Let's Encrypt SSL

Step1. 登入cPanel→下拉到安全性欄位內點選「Let's Encrypt™ SSL」


Step2.下拉至「頒發新憑證」區域,在想加上憑證的網域右方點選「+頒發」


Step3.會進入安裝憑證的畫面→可選擇頒發憑證「http-01」or 「dns-01」驗證方式→勾選完畢後點選「頒發」


會顯示以下頒發成功訊息「SSL 憑證現在已使用 IP 位址“XXX.XX..XX”安裝在網域“XXXX.XX”上。現有虛擬主機已使用新的憑證更新。 Apache 正在背景中重新啟動。」



*使用http憑證頒發失敗原因

1.你要使用的網域A 紀錄沒有指向到這台虛擬主機,導致無法驗證

2.( .well-known/…)內資料夾內容無法被存取,導致無法驗證

*使用DNS憑證頒發失敗原因

1.你要使用的網域A 紀錄沒有指向到這台虛擬主機,導致無法驗證

2.DNS不是使用這台虛擬主機,導致無法驗證 

注意使用免費SSL憑證也有「速率限制」,編編提醒大家不要太頻繁地嘗試重覆申請動作,若有遇到任何申請上的問題,建議還是來信或來電至「遠振尋求工程師的協助」,避免憑證申請被鎖住需等待更久的時間才能夠再次申請憑證。


【教學影片】



>> 了解更多 SSL 憑證方案規格

Free SSL Installation - How To Get Free SSL Certificate for Website (HTTPS) ?

Why should I apply for an SSL certificate?

1. Strengthen a customer’s trust on the website

2. Improve your website security

3. Improve your search engine ranking (SEO) ( Paid SSL>Free SSL>Non-SSL )


Yuan-Jhen provides two kinds of free SSL Certificate.

The only difference is the certificate authority of the certificate.

⑴. SSL/TLS Status

The certificate is provided by cPanel.

⑵. Let's Encrypt SSL

Let's Encrypt is a free certificate authority run by Internet Security Research Group (ISRG), with a mission to create more network communications security and reduce the promotion of financial, technology and education barriers in network communications security.

* The period of the above free SSL certification is 3 months, and the system will automatically renew one month before the free SSL certificate expires.



Refer to the following SSL certificates installation steps

⑴. How to install a free SSL certificate using SSL/TLS Status ?

1. Log into cPanel account

Log in to cPanel → scroll down to Security and click on "SSL/TLS Status".

ssl 免費安裝教學


2. Enable the free SSL certificate

Choose "the domain" you want to enable the free SSL certificate → click "RunAutoSSL".This free SSL certificate will be reissued through Auto SSL when it expires.

ssl 免費安裝教學



⑵. How to install a free SSL certificate using Let's Encrypt ?

1. Log into cPanel

Log into cPanel → scroll down to Security and click on "Let's Encrypt™ SSL".

ssl 免費申請教學


2. Issue a new certificate

Under "Issue a new certificate" section, and click "+Issue (+頒發)" for the domain you want to enable a free SSL certificate.

ssl 免費申請教學


3. Choose an SSL validation method

At a free SSL installation dislaye → you can choose "http-01" or "dns-01" as the validation method → click "Issue (頒發)".

ssl 免費申請教學


4. Enable a free SSL Certificate

If the installation is successful, you’ll get the following message: "The SSL certificate is now installed onto the domain “XXXX.XX” using the IP address "XXX.XX..XX. The existing virtual host was updated with the new certificate. Apache is restarting in the background.

ssl 免費申請教學



HTTP Validation (http-01) failure

1. A record of a domain you want to secure did not connect to virtualhost, resulting in failure to verify.

2. (.well-known/...) the contents of the folder cannot be accessed, resulting in failure to verify.


DNS Validation (dns-01) failure

1. A record of a domain you want to secure did not connect to virtualhost, resulting in failure to verify.

2. DNS is not used for this web hosting, causing authentication failure.

* Note that the usage frequency of a free SSL certificate has “ limit ”. Yuan-Jhen gently reminds everyone not try to re-apply it too frequently. If you encounter application problems, it is recommended to send a ticketor call to "Yuan-Jhen for assistance from an engineer". To prevent being locked to apply for the free SSL certificate, it will take longer to apply for a free SSL certificate again.

→ SSL certificate application

SSL 憑證無論是免費還是付費,安裝後都可以為網站啟用 HTTPS 加密連線,使訪客與網站之間往來的資料不會以明文傳送,藉此保障資料傳輸的安全性。就網站連線的安全性而言,兩種憑證的效力是一樣的。

選擇免費或付費的 SSL 憑證,某方面就類似於選擇免費或付費的電子郵件信箱。免費的東西雖然可用,甚至其實也相當可靠,但付費的服務才具備法律意義上對用戶的擔保性。此外使用付費憑證在企業形象上也更具說服力,倘若企業網站安裝的是免費憑證,就好像是遞給人家公司名片,上面寫的電子郵件地址卻是某入口網站的免費信箱一樣。

免費與付費 SSL 憑證的進一步對照,請見下表:


免費憑證 付費憑證
簽發單位 cPanel、Let's Encrypt 等 Certum、GeoTrust、Symantec、Sectigo 及 TWCA 等
有效期限 3 個月 1 年
簽發流程 簡易 相對繁複
推薦對象 個人用戶、非營利社群組織 公司行號、政府機關

免費 SSL 憑證的有效期雖短,但多半可部署免費憑證的主機,都有自動檢查機制(例如: 遠振虛擬主機),會在即將期滿 前一個月自動重新簽發。至於付費憑證的用戶,則需要更加留意憑證期限,並且得在期滿前申辦及安裝新憑證。

常見的問題案例,即是用戶忘記更新憑證,以致憑證過期、使得網站無法順利開啟。


→ 了解更多 SSL 憑證方案: 網域驗證 DV SSL 單一網域網域驗證 DV SSL 無限次網域組織驗證 OV SSL加強驗證 EV SSL

您購買Certum SSL 並從客戶專區送出 CSR 時,您會需要選擇憑證驗證方式,

SSL 憑證驗證方式有3種:

1.電子郵件驗證 : 建立憑證商指定帳號的電子郵件信箱來收取驗證信

2.DNS驗證 : 在名稱伺服器上加入一筆憑證商指定的txt

3.檔案驗證 : 憑證商會指定一個路徑,在您的主機上的此路徑上放置一隻驗證檔案

DNS 驗證方式:

這裡說明第2種 DNS 驗證方式,您在選擇DNS驗證方式時,您可以在您指定信箱收到來自憑證廠商的驗證信件,信件主旨開頭為 DNS record verification,信件內容如圖:

您需要將驗證信件的 TXT 紀錄添加到您的DNS紀錄中,

這裡提供四種平台添加方式:

第一種 cPanel 添加方式,您的DNS必需先指向我司虛擬主機

再請您先登入cPanel 並選擇 Zone editor 功能> 點選"管理" > 新增TXT

第二種遠振DNS代管添加方式,您的DNS必需先指向遠振DNS代管

再請您登入客戶專區找遠振DNS代管 > 右邊"編輯區域" > 新增TXT紀錄

第三種 Cloudflare 添加方式,您的DNS必需先指向 Cloudflare DNS

再請您登入 Cloudflare > DNS > 新增TXT

第四種 gandi 添加方式,您的DNS必需先指向Gandi LiveDNS

再請您登入客戶專區找我的網域並點選綠色"可用"  > 左邊管理欄中找 DNS管理 > 新增 TXT 紀錄

添加完TXT紀錄後約 15 分鐘左右,在點擊驗證信件中的驗證連結 (Verify the domain)進行驗證,

驗證通過後 CRT 過一段時間就會核發下來。

→ 了解更多 SSL 憑證方案: 網域驗證 DV SSL 單一網域網域驗證 DV SSL 無限次網域組織驗證 OV SSL加強驗證 EV SSL

windows server IIS安裝 SSL 憑證時,需要先將憑證轉成 PKCS12(PFX) 格式

1.請您在客戶專區 > 技術支援 > 找到 PKCS12 產生器
SSLtoPFX_1


2.在欄位上貼上相對應的 Key 和 憑證後點選送出



3.送出成功後您會收到信件並得到一組密碼

PS.請將密碼存筆記本



4.請您登入授權信箱查看信件並下載 pfx 檔案




5.將 
pfx 檔案至您的 windows server 在用 IIS 安裝 SSL 憑證

#使用 IIS 安裝 SSL 憑證教學
https://twnoc.net/support/Knowledgebase/Article/View/315/17



→ 了解更多 SSL 憑證方案: 網域驗證 DV SSL 單一網域網域驗證 DV SSL 無限次網域組織驗證 OV SSL加強驗證 EV SSL

TLS(Transport Layer Security)是用於取代 SSL 的加密協定,相較於後者提供了更高的連線安全性。TLS 實際上已經應用在所有主流的網頁瀏覽器中,當訪客瀏覽 HTTPS 網站時,使用的加密協定便是 TLS 而不再是 SSL。

雖然技術上已經出現更替,但出於用語的習慣性,現今業界仍將加密協定所依賴的憑證稱呼為 SSL 憑證。因此,其實 SSL 憑證即等同於 TLS 憑證,用戶不需要特別去找尋或購買所謂的 TLS 憑證。


>> 了解更多 SSL憑證 方案規格
Wildcard SSL 憑證可以匹配單一層級的任一次網域,舉例來說,若憑證為 *.example.com,則能夠匹配的網域包含 tw.example.com、us.example.com 及 jp.example.com 等。

但無法匹配諸如 app.tw.example.com 或 img.tw.example.com 這樣的情形,這類網域的 Wildcard 憑證必須是 *.tw.example.com 才行。


遠振資訊 SSL 憑證方案

HTTPS 在網站安全性上有兩層作用,首先即是訪客與網站之間的資料傳輸有經過加密,若中途攔截下來是無法被解讀的。再者則是網頁瀏覽器在建立加密連線前,會先檢查網站的 SSL 憑證是否為受信任的第三方機構所簽發。若有,瀏覽器會判定網站來源無虞,反之則會出現警示。

自簽署(self-signed)的 SSL 憑證,為伺服器自行利用工具產生,而未經過第三方機構的核可。它一樣具有加密連線的效果,但訪客將需要忽略瀏覽器警示,才能夠開啟網站。在實際的應用案例上,向公眾服務的網站不應使用自簽署憑證,不過組織內部所使用的網站,則可能會見到使用自簽署憑證的情形。

>> 了解更多 SSL憑證 方案規格

安裝主機環境:WindowsServer-2022 + IIS 




#1.匯入憑證

首先打開 IIS 管理員,選取 IIS 站台首頁,找到伺服器憑證並開啟此功能。



在右邊的動作列點選匯入,載入預先做好的 PFX 憑證檔並輸入當時製作 PFX 憑證檔的密碼。
PS.如果忘記密碼,就只能重做 PFX


#2. 綁定網域

1.在左邊選擇要綁定 HTTPS 的站台。
2.選擇站台後,在右邊動作列找到繫結。
3.如果要讓 HTTP 和 HTTPS 共存,就選擇新增。
4.類型選擇 HTTPS。
5.輸入網域名稱。
6.選擇 SSL 憑證。
7.完成


#3.確認結果

用瀏覽器確認憑證是否安裝成功,

如果憑證顯示無效請先重啟IIS服務之後再進行查看。

遠振資訊 SSL 憑證方案

遠振虛擬主機預設會利用 AutoSSL 功能,自動簽發由 cPanel 所提供的免費 SSL 憑證。倘若網域有正確指向至虛擬主機的 IP 位址,免費 SSL 憑證便會自動安裝完畢。

用戶可前往 cPanel 控制台的【SSL/TLS Status】查看 AutoSSL 運作狀態,新加入的網域則可能會需要一段時間,系統才會完成簽發。

參考連結:

遠振資訊 SSL 憑證方案

什麼是 DNS CAA 紀錄


CAA 紀錄是一種 DNS 紀錄,您在與憑證授權商 (CA) 取得 SSL 憑證的驗證過程中會使用到的額外紀錄。
CAA 紀錄可以指定那些憑證商才可以核發憑證給您的網域,如果不是指定的憑證商,是無法核發憑證給您的網域作使用。
此紀錄可以保護您的網域不會被簽發錯誤的憑證,而導致憑證無法使用。

如何設定 DNS CAA 紀錄


要設定DNS CAA紀錄,需要至您的名稱伺服器(name server) 上進行設定,依據不同的憑證授權商,所需要設定的值也不同,可參考以下範例。

範例一:

若您是使用 Gandi  SSL 憑證,CAA 紀錄的設定方式如下:

@ IN CAA 0 issue "sectigo.com"

@ IN CAA 0 issuewild "sectigo.com"



範例二:
若您是使用letsencrypt ssl 憑證, CAA 紀錄的設定方式如下:

@ IN CAA 0 issue "letsencrypt.org"
@ IN CAA 0 issuewild " letsencrypt.org "

範例三:若您想要在同一個網域名稱下,同時使用不同憑證授權商的CAA 紀錄,設定方式如下: 
 
@ IN CAA 0 issue "sectigo.com"     
@ IN CAA 0 issue "letsencrypt.org"

因此可以根據使用的憑證商不同,自行查詢 issue "     " ,空格中需要設定的名稱為何

補充說明: CAA 紀錄值的含意

如果您的名稱伺服器上是使用「表格模式」來新增紀錄,您會看到以下欄位:

類型:此欄位顯示 CAA 表示此紀錄類型屬於 CAA 紀錄,用來授權 CA 簽發 SSL 憑證給此網域名稱。

TTL (暫存時間): 此紀錄的暫存時間,以秒為單位。

名稱:主網域名稱請保留空白 (@),或者您可以輸入子網域名稱,來將CAA紀錄設定在子網域

旗標(Flag):預設值為 0,如果您設定為 1,CA 會因為不支援此數值而中斷驗證

標籤:請選擇以下之一:
一般憑證 (issue):授權 CA 簽發一般憑證給此域名。

萬用憑證 (issuewild):授權 CA 簽發萬用憑證給此域名。
錯誤連結 (iodef):CA 會寄送錯誤訊息到此網址,格式為 Incident Object Description Exchange Forma


遠振資訊網域註冊SSL 憑證方案

  • RapidSSL / QuickSSL:填寫為 example.com 或 www.example.com 都可以,倘若填寫為 example.com,則 www.example.com 會自動以別名方式加入於憑證中,反之亦然。
  • TWCA:網域名稱填寫為 example.com,另外須填寫別名為 www.example.com。
  • Certum:填寫為 example.com,www.example.com 會自動以別名方式加入憑證中。


>> 了解更多 SSL憑證網域註冊

如何產生 CSR

在您購買完SSL憑證後,但是發現不知道該怎麼從自己的主機產出CSR時,

遠振的會員專區可以有個可以讓您自行產出CSR的程式,

讓您只要依照相關步驟上相對的資訊,即可產出CSR

相關操作步驟如下:

首先煩請您登入會員後台, 在上方的欄位選擇 技術支援 >> CSR產生器



進入之後煩請填寫以下欄位的資訊 下圖皆有告知各個欄位個別要輸入什麼


提醒您,各個欄位還請您輸入英文。

輸入完畢按送出,即可在您在欄位中輸入的信箱中收到我司程式所產出的CSR與KEY

提醒您,申請憑證只需提交CSR,而KEY則是在安裝憑證時使用,

因此還請您務必將該封郵件中所提供的檔案留存。


TWCA SSL 憑證申請書

1.附件申請書填完回傳(先不需用印),待收到您回傳資料(申請書+csr)後,我們會開立帳單,繳費後通知我們給您正式申請書進行後續申請流程

2.再給一次的申請書請用印有「完整公司全名」的發票章 + 1位客戶端同仁親簽=申請單上的憑證安裝人員

用印後申請書正本只申請一個憑證不用填寫附件一)郵寄至:

100台北市延平南路8510 / TWCA電話行銷處 

02-2370-8886 #821 Whisper

 

 

→ 了解更多 SSL 憑證方案: 網域驗證 DV SSL 單一網域網域驗證 DV SSL 無限次網域組織驗證 OV SSL加強驗證 EV SSL

遠振資訊有限公司 • 統一編號:28132571
服務專線:4499-343 (手機撥打請加 02)• 地址:235601 新北市中和區中正路866之7號12樓
[ 雲端主機 ] • [ 虛擬主機 ] • [ 實體主機 ] • [ SSL 憑證 ] • [ 網域申請 ] • [ cPanel 教學 ] • [ WHM 教學 ]
本公司由 宇恒法律事務所 擔任常年法律顧問 • Copyright 2013-2023 All Rights Reserved