ssl证书安装-苹果ATS

自2017年1月1日起,根据苹果要求,所有 iOS 应用必须使用 ATS(App Transport Security),即 iOS 应用内的连接必须使用安全的 HTTPS 连接。同时,苹果要求使用的不仅是一个简单的 HTTPS 协议连接,而且必须要满足 iOS9 中的新增特性。

ssl证书安装,苹果ATS

本文介绍苹果ATS环境ssl证书安装苹果 ATS 针对 HTTPS 协议包含以下四个方面的要求:

证书颁发机构的要求

  • 建议您使用 DigiCert、Symantec、GeoTrust 品牌的 OV 型及以上数字证书,易维信出售的所有ssl都符合要求。
  • 对于个人用户,建议使用 DV 型数字证书,不推荐使用免费证书。
  • CFCA 品牌的数字证书只在最新的苹果设备上才支持,因此不推荐选择 CFCA 品牌。

证书的哈希算法和密钥长度的要求

哈希算法

上述推荐的证书品牌中是使用的哈希算法都是 SHA256 或者更高强度的算法,符合 ATS 的要求。

密钥长度

  • 如果您选择使用系统创建 CSR 的方式,系统生成的密钥采用的是 2048 位的 RSA 加密算法,完全符合 ATS 的要求。
  • 如果您选择自己创建CSR文件,请确保使用 2048 位或以上的 RSA 加密算法。

传输协议的要求

传输协议必须满足 TLS1.2。需要在 Web 服务器上开启 TLSv1.2,通常要求:

  • 基于 OpenSSL 环境的 Web 服务器,需要使用 OpenSSL 1.0 及以上版本,推荐使用 OpenSSL 1.0.1 及以上版本。
  • 基于 Java 环境的 Web 服务器,需要使用 JDK 1.7 及以上版本。
  • 其他 Web 服务器,除 IIS7.5 以及 Weblogic 10.3.6 比较特殊外,只要 Web 服务版本满足,默认均开启 TLSv1.2。

详细 Web 服务器配置要求说明如下:

  • Apache 、 Nginx Web 服务器需要使用 OpenSSL 1.0 及以上版本来支持 TLSv1.2。
  • Tomcat 7 及以上版本 Web 服务器需要使用 JDK 7.0 及以上版本来支持 TLSv1.2。
  • IIS 7.5 Web 服务器默认不开启 TLSv1.2,需要修改注册表以开启 TLSv1.2。
    下载并导入 ats.reg 注册表脚本后,重启(或注销)服务器,即可使 TLSv1.2 生效。
  • IBM Domino Server 9.0.1 FP3 Web 服务器支持 TLSv1.2。根据 ATS 要求,建议使用IBM Domino Server 9.0.1 FP5 版本。更多信息请参考:
  • IBM HTTP Server 8.0 及以上版本支持 TLSv1.2。根据 ATS 要求,建议使用 IBM HTTP Server 8.5 及以上版本。
  • Weblogic 10.3.6 及以上版本 Web 服务器需要使用 Java7 及以上版本来支持TLSv1.2。
    注意:Weblogic 10.3.6 中存在多个 SHA256 兼容问题,建议最低使用 Weblogic 12 版本,或为 Weblogic 10.3.6 配置前端 Apache 或 Nginx 的 HTTPS 代理或 SSL 前端负载。
  • Webspere V7.0.0.23及以上版本、Webspere V8.0.0.3及以上版本、Webspere V8.5.0.0 及以上版本支持 TLSv1.2。关于如何配置 Webspere 服务器支持TLSv1.2,请参考 Configure websphere application server SSL protocol to TLSv1.2

签字算法的要求

签字算法必须满足如下算法要求:

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

配置示例

以下通过举例方式说明不同 Web 服务器的 ATS 协议及加密套件应该如何配置:注意: 示例中只列举了与 ATS 协议有关的属性,请不要完全复制以下配置用于您的实际环境。

Nginx 配置文件片段

Nginx 配置文件中 ssl_ciphers 及 ssl_protocols 属性与 ATS 协议有关。

  1. server {
  2. ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
  3. ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  4. }

Tomcat 配置文件片段

Tomcat 配置文件中的 SSLProtocol 及 SSLCipherSuite 属性与 ATS 协议有关。

  1. <Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
  2. scheme="https" secure="true"
  3. ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
  4. SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
  5. SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4" />

IIS 系列 Web 服务器的配置方法请参考 Enabling TLS 1.2 on IIS 7.5 for 256-bit cipher strength。您也可以使用 IIS Crypto 可视化配置插件进行配置。

ATS 检测工具

您可在苹果电脑中使用系统自带的工具进行ATS检测,执行以下命令即可:

nscurl --ats-diagnostics --verbose 网址

什么是驱动数字签名

什么是驱动数字签名—驱动没有数字签名的解决方案

如我们日常签名一样,数字签名是一种签章,有如我们的文件加盖公章一样。随着科技的发展我们有越来越多的电子档文件需要身份界定,所有权确定。由此,就有了只有文件的签发者可以产生而其他人无法仿制由一个数字串组成的电子签章。

驱动数字签名是指运用在驱动上的数字签名。有数字签名的驱动操作系统会认为它是安全,稳定,有版权的驱动。安装的时候会明显更顺畅。不建议大家安装没有数字签名的驱动程序。

驱动没有数字签名的情况如图所示:notsign1

notsign2

如果您是驱动最终用户,遇到驱动未数名的情况。您可以联系这款驱动的供应商(一般也是设备的生产者)。如果您是驱动发行机构或者是硬件产品生产商,那您可以选择如下几种方式获得数字签名:

第一种,申请Windows发行的驱动数字签名。

这种驱动数字签名是在windows操作系统下使用最多,最有效,最稳定的驱动数字签名。在安装过程中非常的流畅,没有任何敬告提示。是微软windows操作系统最欢迎的驱动数字签名。

要获得Windows发行的驱动数字签名需要将硬件和驱动通过微软的WHQL认证,认证完成后微软会下发签有” Microsoft Windows Hardware Compatibility Publisher”驱动catalog文件,将此文件附在驱动的同一目录下驱动就有了数字签名。

Windows数字签名是驱动开发商和硬件生产商首选的驱动数字签名。

Microsoftsign驱动数字签名
驱动数字签名

第二种, 用代码签名证书签发驱动数字签名。

uassoft-sign驱动数字签名
驱动数字签名

这种驱动数字签名主要是利用CA机构如symantec颁发的代码签名证书来对驱动进行签名。推荐购买EV 代码签名证书EV 代码签名证书具有标准代码签名证书的所有功能,能签名内核代码,不同的是采用更加严格国际标准扩展验证(Extended Validation:EV验证),并且有严格的证书私钥保护机制–必须采用 USB Key来保护签名证书的私钥,以防止证书被非法盗用,确保代码签名证书安全。这种签名运用范围十分广泛,EV 代码签名证书除了对驱动进行签名以外还可以对其他类型文件如exe, MSI, dll, cab等文件进行签名。这种驱动数字签名相比windows发行的数字签名级别要低,安装时会出现对话框确认,但可以在windows 64位系统上成功安装。由于这种数字签名成本较低,而且不限制签名次数,也被广泛采用。

易维信(https://www.evtrust.com)了解到EV代码签名证书的重要性后,开始了EV代码签名证书业务。易维信致力于提供高效专业标准的为代码开发者提供签发EV代码签名证书服务,并且承诺我们的报价远低于同行,点击官网产品介绍,联系易维信销售

 

SSL证书的区别

各种类型SSL数字证书的区别

用于网站或应用程序的 SSL/TLS 证书,当前主要分为DV SSL、OV SSL、EV SSL三种类型的证书。下面文详细介绍SSL证书的区别

  • DV SSL数字证书部署在服务器上后,用户浏览器访问网站时,展示如下:DV SSL
  • OV SSL数字证书部署在服务器上后,用户浏览器访问网站时,展示如下:OV SSL
  • EV SSL数字证书部署在服务器上后,用户浏览器访问网站时,展示如下:EV SSL

SSL证书的区别简述如下,

数字证书 DV SSL OV SSL EV SSL
用户建议 个人 组织、企业 大型企业、金融机构
公信等级 一般
认证强度 网站真实性 组织及企业真实性 严格认证
安全性 一般
可信度 常规 高(地址栏绿色)

PS.易维信出售的Symantec证书,在原有OV、EV基础上,推出了增强型OV、增强型EV证书。增强型与专业版OV及高级版EV的区别主要在于,增强型OV、增强EV支持ECC椭圆加密算法。有研究表示160位的椭圆密钥与1024位的RSA密钥安全性相同。更多的选购指南请参考:如何选购SSL证书?

如何选购SSL证书?

百度、谷歌都支持https加密搜索,尤其是最近一段时间,百度对https网站的照顾更是超乎常人,比如百度将优先收录https站点。那么我们该如何选购SSL证书呢?易维信从3个方面为大家分享如何选购SSL证书

SSL证书类型的选择

  • 如果您的网站主体是个人(即没有企业营业执照),只能申请免费型或 DV 型数字证书。
  • 对于一般企业,建议购买 OV 及以上类型的数字证书。对于金融、支付类企业,建议购买 EV 型证书。为什么要购买 EV SSL证书?
  • 移动端网站或接口调用,建议您使用 OV 及以上类型的证书。

注意: DigiCert 、Symantec 品牌的 EV 型证书有服务器 IP 限制。如果您的一个域名有多个主机 IP,建议您购买多张数字证书。

SSL证书品牌选择

  • 各数字证书品牌兼容性从强到弱的顺序: DigiCert > Symantec > GlobalSign > GeoTrust > Comodo。
  • 移动端网站或接口调用相关的应用,建议您选择 DiGiCert 、Symantec 品牌

    SSL证书保护域名数量

    • 一个域名: 该数字证书只能配置一个具体的域名。
    • 多个域名: 该数字证书可配置多个具体的域名。这些域名可以是一个顶级域也可以是非顶级域名,例如 www.evtrust.comhttp://www.evtrust.net等。
    • 通配符域名: 该数字证书可配置一个通配符域名。通配符域名一般格式为 *.evtrust.com。通配符域名仅支持同级匹配,例如绑定 *.evtrust.com 通配符域名的数字证书,支持 p1.evtrust.com,但不支持 p2.1.evtrust.com。如果你需要支持 p2.p1.evtrust.com的通配符域名数字证书,则还需要购买一张 *.p1.evtrust.com的通配符域名证书。

    注意

    • 通配符域名的数字证书中,仅根域名包含域名主体本身。例如:
      • *.evtrust.com的通配符域名数字证书包含了 evtrust.com。
      • *.p1.evtrust.com的通配符域名数字证书不包含 p1.evtrust.com。
    • 具体的域名中如果填写的是 www 域名,则包含了主域名本身。例如:
      • www.evtrust.com域名绑定的数字证书包含了 evtrust.com。
      • www.p1.evtrust.com域名绑定的数字证书不包含 p1.aliyun.com。
    • 您的数字证书一旦颁发后,将无法修改域名信息等。