Windows Server 2008R2系统

什么是https

HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer）安全超文本传输协议，是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL

SSL（Security Socket Layer）全称是加密套接字协议层，它位于HTTP协议层和TCP协议层之间，用于建立用户与服务器之间的加密通信，确保所传递信息的安全性，同时SSL安全机制是依靠数字证书来实现的。

SSL基于公用密钥和私人密钥，用户使用公用密钥来加密数据，但解密数据必须使用相应的私人密钥。
使用SSL安全机制的通信过程如下：用户与IIS服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有SSL允许的用户才能与IIS服务器进行通信。
提示：SSL网站不同于一般的Web站点，它使用的是“HTTPS”协议，而不是普通的“HTTP”协议。因此它的URL（统一资源定位器）格式为“https：//网站域名”。

搭建项目运行环境：

这里使用的是阿里云的一键安装包：Windows 2008一键安装web环境
包括：iis服务器，php ,mysql,重定向,phpwind,ftp,phpMyAdmin
这个一键安装包没有url重写模块，只有一个http重定向模块，可以把当前网址跳转到另一个网址，需要自己安装一个url重写模块：这个模块功能可以代替http重定向模块，这个模块支持重写和重定向等。

重写：首先获得一个进入的URL请求然后把它重新写成网站可以处理的另一个URL的过程。如：如果通过浏览器进来的URL是“UserProfile.aspx?ID=1”那么它可以被重写成 “UserProfile/1.aspx”
重定向：是指当使用者浏览某个网址时，将他导向到另一个网址的技术

配置域名访问

1：域名解析到ip

在阿里云控制台设置需要的域名（多个域名com，cn，net等）都解析到这台服务器ip地址

2：在iis服务器中添加站点：

添加 多站点：

常见的颁发证书机构

• 赛门铁克(Symantec)是 SSL/TLS 证书的领先提供商
• 中国金融认证中心(CFCA)全球信任SSL证书
• GeoTrust是全球第二大数字证书颁发机构

  CA：一个证书颁发机构

  证书简介：

  分类：

  主流的SSL证书主要分为:DV SSL(域名型SSL证书) 、 OV SSL(企业型SSL证书) 、EV SSL(增强型SSL证书)。

  区别：

  1审核标准不一样，
  DV审核域名所有权，
  OV审核企业的身份，
  EV是审核最严格的证书；
  2证书中显示信息不一样，
  DV只显示公司域名，
  OV证书显示公司名称，
  EV证书中显示公司的详细信息。并且通过IE7.0等高安全浏览器访问时，地址栏会变为绿色，表示诚信，防止钓鱼和欺诈网站。

  DV SSL

  DV SSL证书是只验证网站域名所有权的简易型（Class 1级）SSL证书，可10分钟快速颁发，能起到加密传输的作用，但无法向用户证明网站的真实身份。
  目前市面上的免费证书都是这个类型的，只是提供了对数据的加密，但是对提供证书的个人和机构的身份不做验证。

  OV SSL

  OV SSL,提供加密功能,对申请者做严格的身份审核验证,提供可信身份证明。
  和DV SSL的区别在于，OV SSL 提供了对个人或者机构的审核，能确认对方的身份，安全性更高。
  所以这部分的证书申请是收费的~

  EV SSL

  超安=EV=最安全、最严格 超安EV SSL证书遵循全球统一的严格身份验证标准，是目前业界安全级别最高的顶级 (Class 4级)SSL证书。
  金融证券、银行、第三方支付、网上商城等，重点强调网站安全、企业可信形象的网站，涉及交易支付、客户隐私信息和账号密码的传输。
  这部分的验证要求最高，申请费用也是最贵的。

  开启https方式：

  1，获取ssl证书：

  使用阿里云提供的免费证书

  2，导入证书

  Iis服务器有 服务器证书 模块
  
  
  
  密码在阿里云下载的证书里面有pfx-password.txt文件中

Iis服务器没有 服务器证书 模块

①、添加证书管理

IIS服务器->开始->运行->输入MMC->确定后弹出如下界面->点击文件->选择添加/删除管理单元：

②、下拉左边列表，找到证书并添加：

③、选择计算机账户：

④、跟着向导继续下一步并完成后，刚刚的MMC控制界面就可以看到【证书】选项了，如图点开个人选项，并右键证书，在所有任务里面选择导入：

⑤、在弹出的界面的右下角，选择个人信息交换pfx格式，并选择刚刚通过在线转换得到的pfx证书：

⑥、后面继续跟着向导操作直到导入成功（导入时需要输入之前设置的证书密码），刷新管理界面看到证书即可。

分配证书

①、打开IIS7.0管理器面板，找到待部署证书的站点，点击“绑定”如图：

②、选择“绑定”->“添加”->“类型选择https” ->“端口443” ->“ssl证书【导入的证书名称】” ->“确定”，SSL缺省端口为443端口，如图：

这样就可以使用https方式访问站点了。
再次添加http方式的访问，这样两种方式都可以访问，
我们也可以只允许https的方式访问：
强行设置必须要通过 ssl 才能访问站点（此时，只有https才能访问，而http 就无法访问了）


也可以将http重定向到https
切记使用记事本打开，有的iis服务器必须使用记事本打开并修改才能生效，坑，同一个文件使用记事本和notepad打开显示的是不一样的。
IIS7下面默认HTTPS绑定是无法指定主机头的，我们可以通过手工修改IIS配置来实现主机头绑定。
首先停止IIS服务。
然后打开C:/Windows/system32/inetsrv/config/applicationHost.config
搜索你的站点名称找到类似下面的配置项，做相应修改：









找到https的配置项目，修改为：

在443后面增加你的域名，保存。
再次启动IIS，OK。
有的服务器不需要启动iis就生效了，现在iis管理中心看一下https网站是否显示了主机头。

多通配符域名和混合域名证书申请方法

https://help.aliyun.com/knowledge_detail/48924.html?spm=5176.7842212.2.20.KjTN4j

服务器多站点多域名HTTPS实现

https://help.aliyun.com/knowledge_detail/48032.html?spm=5176.7842212.2.15.KjTN4j
问题原因
当一个https的请求到达IIS服务器时，https请求为加密状态，需要拿到相应的服务器证书解密请求。由于每个站点对应的证书不同，服务器需要通过请求中不同的主机头来判断需要用哪个证书解密，然而主机头作为请求的一部分也被加密。最终IIS只好使用第一个绑定到该IP：PORT的站点证书解密请求，从而有可能造成对于其他站点的请求失败而报错。

解决方案

1. 第一种解决方案将每个https站点绑定到不同的端口。但是这样的话客户端浏览网页时必须手动指定端口，例如 https：//site.domain.com:444
2. 第二种解决方案是为每个站点分配一个独立的ip，这样冲突就解决了，甚至主机头也不用添加了。
3. 第三种解决方案是使用通配证书。我们采用通配证书颁发给.domain.com，对于我们的示例中，应该采用颁发给.marei.com的证书，这样任何访问该domain的请求均可以通过该证书解密，证书匹配错误也就不复存在了。
4. 第四种解决方案是升级为IIS8，IIS8中添加的对于SNI(Server Name Indication)的支持，服务器可以通请求中提取出相应的主机头从而找到相应的证书。

   443端口和80端口的区别是什么？

   这两个端口最大的区别就在于服务不同。
   端口：80
   服务：HTTP
   说明：用于网页浏览。木马Executor开放此端口
   端口：443
   服务：Https
   说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。
   HTTPS（Secure Hypertext Transfer Protocol）安全超文本传输协议 它是一个安全通信通道，它基于HTTP开发，用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换，简单来说它是HTTP的安全版。

HTTPS和HTTP的区别：
https协议需要到ca申请证书，一般免费证书很少，需要交费。
http是超文本传输协议，信息是明文传输，https 则是具有安全性的ssl加密传输协议
http和https使用的是完全不同的连接方式用的端口也不一样,前者是80,后者是443。
http的连接很简单,是无状态的 HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议 要比http协议安全

阿里云普通证书：

同一张普通证书在一台服务器上只能保护一个站点，否则只能改端口，将默认的443端口改为其他未占用的端口或者换ip，也就得还另一台服务器。如果两个不同的普通证书，绑定在一台服务器上不同的网站，都使用443端口，会有提示已有其他站点启用https,那么只能有一个网站处于启动状态
SSL通配型或多域名证书，将原本需要绑定两张证书上的多个域名，统一绑定在一张证书，这样就只需要安装一张证书即可保护多个域名。

HTTP重定向到HTTPS的方法

打开服务器管理器：开始”按钮-所有程序→管理工具→服务器管理器”项。
唤出”服务器管理器”程序窗口，点击”服务器管理器→角色→Web服务器(IIS)→添加角色服务”图标。
这里可以安转很多模块，如重写等模块，安转完以后如果没效果，重启IIS服务器

4、取消勾选“SSL设置”-》“要求 SSL”

5直接修改web.config（与“6、IIS配置图示”效果相同），例如：见…节点：
<?xml version=”1.0” encoding=”UTF-8”?>

将不带www跳转到带https://www：

这样写的话就会将所有绑定到这个网站的域名访问都重定向到https:///www.518up.com上，增加网站权重
。
而且这里选择：redirectType=”Permanent”，意思是301 redirect:：301代表永久性转移(Permanently Moved)，301重定向是网页更改地址后对搜索引擎友好的最好方法，只要不是暂时搬移的情况，都建议使用301来做转址。

Windows实现301重定向的方法:

Windows server 2003 IIS6.0虚拟主机下301重定向代码
httpd.ini文件配置的代码如下，放置位置：网站根目录

[ISAPI_Rewrite]

CacheClockRate 3600

RepeatLimit 32

RewriteCond Host: ^qiankoo.com$

RewriteRule (.) http\://www.qiankoo.com$1 [I,R]

注：记得把其中的域名换成你的域名。如果你的网站根目录中的这个文件已经存在（伪静态），可以将上面的代码直接加到里面
Windows server 2008 IIS7.5虚拟主机下的urlrewrtie规则
web.config文件代码如下，放置位置：网站根目录

<?xml version=”1.0” encoding=”UTF-8”?>





<match url=”.“ />










记得把其中的域名换成你的域名。
注：经实验，此方法只能重定向首页，如需整站301跳转，需要在iis7中新建一个站点不带www，随便指定一个目录，设置这个站点301跳转到带www 的即可，这点网上很多地方都没有说
详解教程：IIS7.5全站301跳转，内页+带参数url，这才是真正的全站跳转

多对域名重定向怎么写规则？

1、对于httpd.ini 配置文件中需要另写一行重定向代码。
如下，将域名“qiankoo.com”、“www.vuln.cn”都重定向到“www.qiankoo.com”

[ISAPI_Rewrite]

CacheClockRate 3600

RepeatLimit 32

RewriteCond Host: ^qiankoo.com$

RewriteRule (.*) http\://www.qiankoo.com$1 [I,R]

RewriteCond Host: ^seo.qiankoo.com$
RewriteRule (.) http\://www.qiankoo.com$1 [I,R]


2. web.config配置文件中只需在被重定向的域名后面加一个竖线”|”跟上需要被重定向的增加域名即可。
如下

<?xml version=”1.0” encoding=”UTF-8”?>





<match url=”.“ />










注：因为即使是做了301跳转之后，搜索引擎对你另外一个带www的域名还是会有一个考察期的，这个考察与新站稍有不同。权重一般不会丢失。所以做过301跳转后会有一个作用期，不会马上生效！

6、IIS配置图示（图形化的操作过程，与上步效果相同，适用于asp/php等站）
选择要配置的网站，如：，找到“URL重写”，没有的话看上面第3步

进入“URL重写”模块，点击“添加规则”

选择“空白规则”

名称：HTTP to HTTPS redirect
模式：(.*)


条件输入：{HTTPS}
模式：off 或 ^OFF$
或
重定向URL：https://{HTTP_HOST}/{R:1}
重定向类型：已找到(302) 或 参阅其它(303)
或
配置完成后“应用”到当前站点：

URL重写配置结果：

这样所有的http方式的访问都将重定向到https

Windows server服务器需要安装的软件：

filegee 自动备份软件
每隔几分钟备份到百度网盘中
filegee收费完整版（收费，永久500）强制复制被其它程序使用中的文件，热备份，mysql运行中直接拷贝data目录在数据进行交换的时候容易发生表错误。
服务器安全狗，网站安全狗，这两个是免费产品，http://www.safedog.cn/
有IIS，Apache，Nginx版本，还有很多收费产品。阿里云提供的云安全产品很贵
http://www.safedog.cn/gouqi.html?from=im286 枸杞版，我服务器用的这个版本，不需要登录，官网直接搜不到了。。这个版本不维护了，直接使用最新版本。加入云端

部署laravel：

系统要求：

• PHP版本 >= 5.5.9
• PHP扩展：OpenSSL
• PHP扩展：PDO
• PHP扩展：Mbstring
• PHP扩展：Tokenizer

  500错误

  部署在iis服务器上报错，访问页面包500错误：查看laravel的log文件：storage\logs
  提示没有开启openssl：

  开启openssl方法：

  第一步、检查php配置文件中的extension=php_openssl.dll
  检查php.ini中是否存在“；extension=php_openssl.dll”这句， 如果存在的话去掉前面的分号注释符‘；‘， 如果不存在这行，那么直接添加上这句即可：
  extension=php_openssl.dll
  第二步、复制支持文件到 WINDOWS\system32\
  在php安装目录下找到下面三个文件，把他们拷贝到Windows\system32\ 文件夹下：
  php_openssl.dll
  ssleay32.dll
  libeay32.dll
  第三步、重启Apache或者IIS
  重启apache的办法：开始—> 运行 —> cmd 先输入net stop Apache2.2让**其停止，再输入 net start Apache2.2重新启动，或者**右键单击“我的电脑”选择“管理”，打开服务器管理界面，在左侧“配置”中找到“服务”，在服务右侧窗口找到apache XX就上面右键就可以重启了（不同的服务器版本会有不同，博主是在2008里面测试的）（如下图：点击放大）
  

  重启iis的办法

  直接在运行里面输入iisreset ，回车即可。
  至此，openssl功能就开启了。

  可写权限**：storage和bootstrap/cache目录应该是可写的

  设置方法：
  

  env文件

  修改env文件的数据库连接信息：建议一个数据库中的表给配置一个用户和密码，不要使用root权限

  Url重写

  web.config文件：

  laravel/public目录下的web.config文件：
  <?xml version=”1.0” encoding=”UTF-8”?>
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  在web.config文件中输入上面的这段话，就会再iis服务器中的url重写模块中导入这两条规则，在url重写模块中自己编辑规则也会自动在项目更目录下生成web.config文件，所以两者功能相同，一个是命令行的形式，一个是编辑模式的形式。

  Url重写编辑模式

  
  隐藏index.php的方式，在默认文档中的显示如下：
  
  如果没有默认的项，自己新添加默认index.php的话，也会在web.config中生成代码。
  
  
  用iis服务器自带的默认文档管理就好，而且web.config中有默认访问index.php的话，这里的默认文档中的index.php得是自己添加的，不能是继承的，否则默认文档这个模块打不开。
  
  

  图片验证码不显示

  php.ini 中开始GD库

  extension=php_gd2.dll 去掉分号码

  extension=php_fileinfo.dll 也去掉分号

  找不到上面那两个的话自己加上：
  extension=php_gd2.dll
  extension=php_fileinfo.dll
  同时保证php/ext/里面有这两个扩展文件
  重启服务器

  https站点里有http的问题

  问题描述

  浏览器默认是不允许在HTTPS里面引用HTTP资源的，一般都会弹出提示框，用户确认后才会继续加载，用户体验非常差。而且如果在一个HTTPS页面里动态的引入HTTP资源，比如引入一个js文件，会被直接block掉的。Chrome 21之后，在SSL加密页面embed非SSL的Flash会怎样呢？会被默默的屏蔽掉，只留下一句console报告。

  解决方案

  1，可以使用iframe的方式引入HTTP资源，比如在HTTPS里面播放优酷的视频，我们可以先在一个HTTP的页面里播放优酷视频，然后将这个页面嵌入到HTTPS页面里就可以了，另外一个典型的例子是在HTTPS页面里通过AJAX的方式请求HTTP资源，Chrome是不允许直接AJAX请求HTTP的。如果两个页面的内容都可以控制的话，当前窗口可以iframe窗口进行通信的。
  ,2，对于同时支持HTTPS和HTTP的资源，引用的时候要把引用资源的URL里的协议头去掉，例如：//www.example.com/scirpt.js，这样相当于相对路径，即浏览器会自动根据当前是HTTPS还是HTTP来给资源URL补上协议头的，可以达到无缝切换。参考： 使用相对Url无缝切换HTTP-HTTPS
  3，W3C 工作组考虑到了我们升级 HTTPS 的艰难，在 2015 年 4 月份就出了一个 Upgrade Insecure Requests 的草案，他的作用就是让浏览器自动升级请求。

在我们服务器的响应头中加入：

header(“Content-Security-Policy: upgrade-insecure-requests”);

我们的页面是 https 的，而这个页面中包含了大量的 http 资源（图片、iframe等），页面一旦发现存在上述响应头，会在加载 http 资源时自动替换成 https 请求。可以查看 google 提供的一个 demo：

不过让人不解的是，这个资源发出了两次请求，猜测是浏览器实现的 bug：

当然，如果我们不方便在服务器/Nginx 上操作，也可以在页面中加入 meta 头：

目前支持这个设置的还只有 chrome 43.0，不过我相信，CSP 将成为未来 web 前端安全大力关注和使用的内容。而 upgrade-insecure-requests 草案也会很快进入 RFC 模式。

从 W3C 工作组给出的 example，可以看出，这个设置不会对外域的 a 链接做处理，所以可以放心使用。

总结

如果是站内资源，最好是HTTP和HTTPS各一份，然后再通过相对路径的方式引用，这样就可以完美的解决掉这个问题了，比如Google首页就是2种方式都提供了。对于站外的资源如果不支持HTTPS
那就只能用iframe了

免费证书和收费证书区别：

颜色的区别：

其他的区别：

自制证书：只有自己信任。并没有验证机制
免费证书：有的浏览器不兼容，升级到https，依旧会提示不安全的链接
收费证书，兼容性大，更加安全，信任的高

阿里云手册：

• 免费版SSL: 免费版基础级SSL产品，只验证域名所有权，小时内颁发，只提供通信链路加密功能。免费版SSL的根证书一般使用CA中心认证的根，只支持最多5个域名绑定，不支持通配符域名。
• 普通版SSL: 普通版SSL证书属于DV SSL证书(Domain Validation SSL)。只验证域名所有权，小时内颁发，提供高强度通信链路加密功能，支持最多达100个域名绑定。
• 专业版SSL: 专业版SSL证书属于OV SSL证书(Organization Validation SSL)。验证域名所有权和申请单位的真实身份，解决在线信任问题，证书中显示申请者的单位名称，让上网用户放心使用，提供高强度通信链路加密功能，支持最多达100个域名绑定。
• 高级版SSL: 高级版SSL证书属于EV SSL证书(Extended Validation SSL)。严格验证域名所有权和申请单位的真实身份，此证书在大部分浏览器中(部分证书在Safari浏览器中不能显示绿色地址栏)能显示绿色地址栏，有效解决在线信任和网站被假冒问题，证书中详细显示申请者的单位信息，让上网者放心使用，提供高强度通信链路加密功能，支持最多达100个域名绑定。

2017年1月1日起，谷歌Chrome 56将对未进行HTTPS加密的网站进行风险提示，同时苹果App Store的所有iOS应用将强制采用ATS标准，也就是App的网络传输必须通过HTTPS协议。另有数据显示：在欧美地区桌面用户浏览的网页中，逾半数通过HTTPS传输，HTTPS网页占到用户上网时长的三分之二。
　　总之，是一股不将这个星球上所有网络流量都上马HTTPS 就誓不罢休的架势。互联网媒体上也是诸如“还剩××天，你的苹果APP就会因没有HTTPS而下架”一类的报道。但当你真心想拥抱HTTPS的时候，却发现又有一大波关于SSL证书的疑问扑面而来。是的，部署SSL证书是目前实现HTTPS的唯一途径，但当我们申请SSL证书时，却发现证书的类型、品牌有很多种，到底该如何选择？如果您是土豪，请只选贵的，因为没有花钱的不是；如果您希望花对钱、少花钱甚至不花钱就申请到适合自己网站的SSL证书，那么我们将分两期来聊一聊SSL证书的类型、品牌并给出一些选型建议供您参考。本期，我们首先讲讲选择SSL证书时需要具备的基础知识，即认识三大基础类型的证书。
　　为了吸引眼球或更好的表达营销诉求，部分SSL证书的颁发机构（简称CA）给证书加上了炫酷的名号。但我们不用理会这些，因为万变不离其宗，目前市面上的主流SSL证书都可分为三大类，即DV、OV与EV：
　　（1）DV SSL证书的中文名称是域名型证书。之所以被称为域名型，是因为在申请时，CA只审核域名的所有权。例如，CA的证书系统会向申请信息中留下的管理员邮箱发送验证邮件，收到验证邮件再点击邮件中的验证链接即可完成验证，属于这个域名的DV SSL证书也就申请下来了。因为整个申请流程由系统自动完成，不需人工，所以DV证书往往价格很低，甚至是免费的。

钓鱼网址怎么也有HTTPS？DV证书难逃干系
但DV证书有个很大的问题，举个例子来说：黑客搭建了一个“钓鱼”网站，为了让这个网站看起来更可信，他决定去申请一张DV证书。他能申请下来吗？很有可能！因为申请DV证书时仅审核域名所有权，而域名所有者的身份是否真实可靠就被忽略了。我们认为HTTPS是安全的，不仅是因为传输加密，还因为它代表着网站身份是真实的、经过验证的。因为安全系数较低，DV证书在近年来已出现多次安全事故，所以只有个人网站和博客才适合此类证书。
Dv证书：

　　（2）DV证书虽然便宜，但安全性和局限性太大，所以我们来看看OV型，即组织型或机构型证书。“人如其名”，OV型证书显然适用于企业、政府等机构。因为申请OV证书时，域名所有者的身份必须通过人工验证，否则无法申请。如果您是一家中小型企业或机构，有一两个网站域名需要实现HTTPS，那么申请OV证书是个不错的选择。因为OV证书不仅具备加密传输和身份验证的完整功能，价格也比较便宜，而且签发便捷。但OV证书也有一个不大不小的缺陷，就是不够直观。例如以下网站就安装了一张OV证书：
Ov证书：

　　事实上，光看地址栏里面的链接分不出DV与OV证书的区别，因为都是HTTPS开头。而如果要查看证书是哪家CA颁发的，就要点击锁形图标，弹出的提示栏才会显示。如果还想查看网站身份等详细信息，就要再点击“证书信息”，这对于多数普通网站访客来说，太麻烦、太复杂了。那么，如果您希望用户无需操作，仅用肉眼就能观察到网站安装了功能完善、真实可靠的SSL证书的话，那EV证书无疑更适合你。
　　（3）EV证书的中文名称是高级或增强型证书。从字面我们就能了解到，EV证书的功能比DV、OV证书都强大。事实上，EV证书也是安全级别最高的SSL证书。其强大主要体现在两方面：
　　首先是直观，从下图我们就可以看出，地址栏变绿，网站身份和证书颁发机构信息也会醒目的展示。有无HTTPS？网站的真实身份？SSL证书谁颁发的？一目了然。

CFCA中国金融认证中心颁发的EV证书示例
　　其次，不要以为EV证书只是“看起来很美”，它还拥有更高的安全级别。在申请EV证书时，企业信息要求非常详细，包括具体营业地址等信息也需要提供，还必须出具有法律效力的存在证明（比如律师函），以证明域名所有者身份的真实可靠。
　　不过，EV证书的缺点也比较明显，就是价格较高，所以它主要适用于以下网站：
　　· 金融、电商等需要强大公信力和良好用户体验度的网站；
　　· 对网络安全有较高需求的网站；