phpstudy配置ssl证书-互亿无线

phpstudy配置ssl证书介绍

一、生成SSL证书

1.打开openssl工具，输入以下命令生成根证书文件serverca.crt和私钥文件serverca.key。

openssl req -new -x509 -days 3650 -keyout serverca.key -out serverca.crt

其中，-days选项代表证书的有效期，默认为30天；-keyout选项指定私钥文件的存放位置；-out选项指定证书文件的存放位置。

2.接着输入以下命令生成服务器证书请求文件server.csr和私钥文件server.key。

openssl req -newkey rsa:2048 -days 3650 -keyout server.key -out server.csr

其中，-newkey选项表示同时生成私钥文件和证书请求文件；-keyout选项指定私钥文件的存放位置；-out选项指定证书请求文件的存放位置。

3.再，输入以下命令生成服务器证书文件server.crt。

openssl x509 -req -in server.csr -CA serverca.crt -CAkey serverca.key -CAcreateserial -days 3650 -out server.crt

其中，-req选项代表使用请求文件生成证书文件；-in选项指定请求文件的位置；-CA和-CAkey选项分别指定根证书文件和私钥文件的位置；-CAcreateserial选项表示生成证书序列号文件；-days选项表示证书的有效期；-out选项指定证书文件的存放位置。

二、配置PHPStudy

1.将生成的根证书文件serverca.crt和服务器证书文件server.crt复制到PHPStudy的安装目录下的nginx/conf/ssl文件夹内。

2.打开nginx/conf/nginx.conf文件，并添加以下代码。

server {

listen 443 ssl;

server_name localhost;

ssl_certificate ssl/server.crt;

ssl_certificate_key ssl/server.key;

ssl_session_cache shared:SSL:1m;

ssl_session_timeout 5m;

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;

ssl_prefer_server_ciphers on;

}

其中，listen指定端口为443；ssl_certificate指定证书文件的位置；ssl_certificate_key指定私钥文件的位置；ssl_session_cache和ssl_session_timeout分别指定缓存的大小和超时时间；ssl_ciphers指定SSL加密算法；ssl_prefer_server_ciphers表示使用服务器设置的加密算法。

3.重启PHPStudy的Nginx服务。

至此，PHPStudy的SSL证书配置完成。可以在浏览器中输入https://localhost访问测试了。

通过本文的介绍，我们了解到如何通过openssl工具生成SSL证书，并在PHPStudy中进行配置。了解SSL证书生成和配置的方法可以帮助我们更好地进行网站的安全维护，同时提高网站的用户体验和信誉度。

互亿无线一站式SSL证书服务平台

互亿无线始终致力于为您提供全面的SSL证书解决方案，确保您网站的安全性和信任度。我们承诺为您提供多种类型的SSL证书，涵盖DV（域名验证）、OV（组织验证）以及EV（扩展验证）证书，满足您多重的安全需求。我们为您呈现多样化的证书类型，涵盖单域名、多域名和通配符证书。以适应您的网站架构。我们与全球知名的证书品牌，包括Globalsign、DigiCert、GeoTrust、TRUST Asia、GoDaddy等建立了紧密合作关系，确保您获得高品质的SSL证书。

互亿无线SSL证书平台优势

	一站式SSL证书申请中心覆盖国内外知名SSL证书品牌，提供便捷的一站式SSL证书购买服务，提供快速高效的SSL证书签发
	SSL证书快速签发体验让您轻松完成SSL证书申请，为您提供全方位的证书安装技术支持
	为您呈现高性价比的SSL证书价格方案为您呈现性价比的SSL证书购买方案，有效降低成本
	提供完备的SSL证书服务为您提供周到的SSL证书安装技术支持和完善的证书管理与提醒服务

常见问题

SSL证书加密算法有哪些？

1.DES对称加密算法

DES加密算法于1976年推出，是最古老的加密方法之一。DES将64个纯文本数据块分为两个单独的32个块，并对每个块进行加密，从而将明文数据的64个块转换为密文。

由于DES已经被许多安全人员破解，它不再被使用，并于2005年正式被废弃。DES最大的缺点是加密钥长度短，易于暴力破解。

2.3DES加密算法

3DES是DES算法的升级版本，在20世纪90年代末投入使用。3DSE算法在每个数据块中三次使用，比DES更难破解。但与DES一样，研究人员也在3DES算法中发现了严重的安全漏洞，这使得美国标准技术研究所在2023年后宣布废除3DES算法。

3.AES对称加密算法

AES是DES算法的替代品，也是最常用的加密算法之一。与DES不同，AES是由不同密钥长度和组大小的密码组成的一组分组密码。AES算法首先将明文数据转换为块，然后用密钥加密，AES密钥长度为128、192或256位，数据分组加密解密128位，安全性要高得多，目前广泛应用于金融、在线交易、无线通信、数字存储等领域。

4.RSA非对称算法

RSA是在1977年发明的，是目前使用最广泛的非对称算法，其安全性是基于它所依赖的素数分解。根据数论，寻找两个素数相对简单，但将其乘积因式分解极其困难，因此乘积公开可以作为加密密钥。事实证明，今天的超级计算机很难破解RSA算法。2010年，一组研究人员模拟破解768位RSA算法，发现使用超级计算机至少需要1500年才能破解。目前，RSA普遍使用2048位密钥，因此破解难度可想而知。因此，RSA算法从提出到现在已经近30年了，经历了各种攻击的考验，逐渐被人们接受，普遍认为是目前最好的公钥方案之一。

5.ECC非对称加密算法

ECC又称椭圆曲线加密算法，是一种基于椭圆曲线数学理论的非对称加密算法。与RSA相比，ECC可以使用较短的密钥来实现与RSA相同甚至更高的安全性。根据目前的研究，160位ECC加密安全性相当于1024位RSA加密，210位ECC加密安全性相当于2048位RSA加密。较短的密钥只需要较少的网络负载和计算能力，因此在SSL证书中使用ECC算法可以大大降低SSL握手时间，缩短网站响应时间。

6.SM2加密算法

SM2是中国国家密码管理局于2010年发布的基于椭圆曲线密码的公钥密码算法标准。SM2是ECC256位的一种，其密钥长度为256bit，包括数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。SM2的安全强度高于RSA2048位，而且运算速度更快，因此广泛应用于CFCA等国密证书中。

如何进行SSL证书查询？

1.查看网站是HTTPS链接，可手动输入HTTPS链接查看网站是否能打开，如果能打开，说明网站部署了SSL证书。

2.查看网站地址栏是否有小锁或绿色地址栏显示，这表明网站部署了SSL证书。相反，如果网站地址栏小锁叉或显示“不安全”，则表明网站没有部署SSL证书或部署错误的SSL证书。

SSL自签名证书存在的安全隐患都有什么？

公钥加密基础设施（PKI）中、证书颁发机构（CA）必须信任证书签名人，以保护私钥，并通过互联网在线传输信息。然而，在签署SSL证书的情况下，CA无法识别签名人或信任它，因此私钥将不再安全和损坏，这鼓励网络罪犯攻击网站并窃取信息。

⌈自签名SSL证书的缺点⌋：

·应用/操作系统不信任自签证证书，可能导致身份验证错误等。

·低哈希和密码技术可用于自签证。因此，自签证的安全水平可能不符合当前的安全策略。

·不支持高级PKI(公钥基础设施)功能，如网上检查撤销列表等。

·自签证的有效期一般为一年，这些证书每年都需要更新/更换，这是一个难以维护的问题。

⌈在公共场所使用自签名SSL证书的风险⌋：

与自签名SSL证书相关的安全警告将驱逐潜在客户，因为他们担心该网站无法保护其凭证，从而损害品牌声誉和客户信任。

⌈在内部网站上使用自签名SSL证书的风险⌋：

在公共网站上使用自签名证书的风险很明显，在内部使用也有风险。内部网站（如员工门户）上的自签名证书仍然会导致浏览器警告。许多组织建议员工忽略警告，因为他们知道内部网站是安全的，但这可能会鼓励危险的公共浏览行为。习惯于忽视内部网站警告的员工可能会忽略公共网站上的警告，使他们和你的组织容易受到恶意软件和其他威胁的攻击。

如果自签名SSL证书安装在电子商务网站上，用户会感受到数据和信息被盗的风险，退出购物，这也会影响在线业务和所有者的声誉。收集用户敏感信息和个人信息的网站不得安装自签名SSL证书。银行、电子商务、社交媒体、医疗保健和政府部门就是其中之一。公钥加密基础设施（PKI）中、证书颁发机构（CA）必须信任证书签名人，以保护私钥，并通过互联网在线传输信息。然而，在签署SSL证书的情况下，CA无法识别签名人或信任它，因此私钥将不再安全和损坏，这鼓励网络罪犯攻击网站并窃取信息。