无忧在线项目管理(www.5upm.com)是禅道开发团队给大家提供的一款在线的项目管理服务，它提供了禅道软件专业版本的功能，同时内置了subversion和git的源码托管服务，这样创业型团队或者跨地域团队就可以异地办公，实现跨地域的协同管理。

在实际运营无忧在线过程中，安全是很多客户比较关心的问题。对于这个问题我们通过很多种手段来加以解决，比如操作系统层面，应用程序层面等等。最近无忧在线项目管理又上线了https访问功能，进一步加强了无忧在线的安全性。

下面是笔者配置无忧在线https访问的过程，谨供大家参考。

一、https协议简介

我们平常访问网站默认使用的是http协议，但http协议是没有加密的，所有的内容都是以明文的方式在网络上进行传输，安全性无妨保证。https协议则很好的解决了这个问题。

根据维基百科（http://zh.wikipedia.org/wiki/HTTPS）的介绍，HTTPS的主要思想是在不安全的网络上创建一安全信道，并可在使用适当的加密包和服务器证书可被验证且可被信任时，对窃听和中间人攻击提供合理的保护。

HTTPS的信任继承基于预先安装在浏览器中的证书颁发机构（如VeriSign、Microsoft等）（意即“我信任证书颁发机构告诉我应该信任的”）。因此，一个到某网站的HTTPS连接可被信任，当且仅当：

用户相信他们的浏览器正确实现了HTTPS且安装了正确的证书颁发机构；

用户相信证书颁发机构仅信任合法的网站；

• 被访问的网站提供了一个有效的证书，意即，它是由一个被信任的证书颁发机构签发的（大部分浏览器会对无效的证书发出警告）；
• 该证书正确地验证了被访问的网站（如，访问https://example时收到了给“Example Inc.”而不是其它组织的证书）；
• 或者互联网上相关的节点是值得信任的，或者用户相信本协议的加密层（TLS或SSL）不能被窃听者破坏。

因此部署https协议访问最为关键的就是证书。下面来看下https证书的分类。

二、https(ssl)证书分类

2.1 从证书颁发机构来分

从证书的签发机构来分，可以分为自我签发和专业的CA认证机构签发两种。如果只是公司内部使用，可以采用自我签发的方式来生成ssl证书，优势是完全免费的，部署也方便快捷。但缺点是浏览器默认认为这个自我签发的证书是不被信任的，会弹出警告页面，提示用户进行确认。比如ie下面这提示这样的页面：

这种方式给客户提供服务就非常不好。所以还是要购买专业CA机构颁发的证书。

2.2 从证书认证等级来分

从证书认证的等级来分，ssl证书可以分为DV, OV和EV三种：

• DV是Domain Validation 的缩写，意思就是对网站域名所有权进行验证。CA认证机构会向域名持有者的邮箱发送相应的邮件，以确认证书