搭建HTTPS網站的準備工作

　　簡單來說，HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，所以HTTPS網站搭建中比較重要的內容都是圍繞著SSL證書進行的。

　　那我們應該做什么準備工作，如下圖：

　　網站選型：HTTPS會提升網站安全性，同樣也拉高技術成本，所以我們建議一些涉及到用戶隱私信息的網站進行HTTPS建設，公開性的內容是根據網站自身情況進行選擇；

　　證書申請：

　　①CSR文件制作：申請SSL證書之前，需要制作CSR文件，CSR，Certificate Signing Request，是制作SSL 證書的必要步驟。一個 CSR 文件中描述了 SSL 證書持有人的信息（如個人姓名或公司名稱）、聯系地址等，用于驗證 SSL 證書和域名是同一個人持有，以確保網站的合法性。制作完成后向 SSL 證書提供商上傳這個文件，以獲得最終的 SSL 證書。

　　在申請服務器證書時，不要出現某些特殊字符，否則在您提交CSR后，會出現"105"的錯誤代碼。這個錯誤是由于在您生成CSR時，輸入的信息中包含一些特殊字符，如：(@,#,&,!,等等，例如：您可以將"&"用"and"代替)。

　　在您生成CSR時，公用名（Common Name）是必須填寫的，但許多客戶填寫這一項時，經常填錯或不符合標準。

　　公用名（Common Name） 是您的主機名+域名，比如：www.willrey.com維瑞的服務器證書是頒發給某一臺主機的，而不是一個域，您的公用名（Common Name）必須與您要使用服務器證書的主機的全名完全相同，因為www.domain.com與domain.com是不同的。

　　要生成CSR文件，你必須為服務器創建一對密鑰對。密鑰對和證書是不可分開的，一旦您遺失了公鑰、私鑰或密碼，重新生成密鑰對后，和原來的證書就不匹配了。如果您申請的是全球信SSL證書，可以重新提交CSR免費重發證書；如果您申請的是閃快SSL證書，就必須重新付費申請證書。

　　②CA認證證書申請：將CSR提交給CA，CA一般有2種認證方式：

　　1)域名認證：一般通過對管理員郵箱認證的方式，這種方式認證速度快，但是簽發的證書中沒有企業的名稱;

　　2)企業文檔認證：需要提供企業的營業執照。

　　也有需要同時認證以上2種方式的證書，叫EV ssl證書，這種證書可以使IE7以上的瀏覽器地址欄變成綠色，所以認證也最嚴格。

　　③證書安裝：

　　在收到CA的證書后，可以將證書部署上服務器，一般APACHE文件直接將KEY+CER復制到文件上，然后修改httpD.CONF文件;TOMCAT等，需要將CA簽發的證書CER文件導入JKS文件后，復制上服務器，然后修改SERVER.XML;IIS需要處理掛起的請求，將CER文件導入。

　　鑒于對建站成本的考慮，需要高級別ssl 證書的往往是大中型網站，如網上銀行、購物網站、金融證券、政府機構等，諸如個人博客之類的小型站點完全可以先嘗試免費ssl證書。

　　服務器選購：

　　考慮到CSR和SSL證書與服務器的環境配置及功能支持有必不可分的聯系，建議在再選購服務器之前做好充分的考慮。尤其是對服務器是否支持SSL功能，是否與證書匹配等功能需要重視；

　　網站開發：

　　由于網站功能與開發語言各不相同，在這就不詳細說明網站開發的準備工作了，HTTPS網站與HTTP網站在開發期間基本是一致的，只是使用協議不同。

　　HTTPS網站搭建中的注意事項

　　HTTPS網站的加密功能決定了在搭建過程中一定要注意一些問題：

　　1、衡量投入與產出：無論是做一個新的HTTPS站還是從HTTP轉成HTTPS的網站，都需要投入硬件、軟件、人力等新的成本，所以在未評估之前建議不要做；一旦做好，輕易不要關閉HTTPS網站倒退回HTTP，這種倒退行為很容易造成不利影響；

　　2、證書申請機構：在選擇申請機構之前一定要考察核對該機構是否有可信資質，有些機構沒有被國際機構認可（瀏覽器上會沒有小綠鎖），也有些機構在訪問地域上有所限制，還有的機構出現過公鑰泄露的情況，所以請慎重選擇；

　　3、證書的選擇：因為網站的開發語言、使用功能和服務器環境不同，證書的選擇也不同，所以在選擇時要考慮好需要什么證書，避免浪費成本；

　　4、網站路徑方式：在HTTP網站上絕對路徑和相對路徑并沒有明顯的區別，但是在HTTPS和HTTP共存的情況如果使用絕對路徑容易出現協議混淆的情況，如果混淆后可能會出現鏈接打不開，或者蜘蛛抓取失敗等現象，這個應該十分注意！

　　5、服務器的訪問速度：由于HTTPS多次握手的特性，網站速度是一定會受到影響的，所以在搭建網站的同時要注意網站速度的優惠，可以適當考慮使用CDN等產品。