日期:2011-09-04  浏览次数:20584 次

 

无忧在线项目管理(www.5upm.com)是禅道开发团队给大家提供的一款在线的项目管理服务,它提供了禅道软件专业版本的功能,同时内置了subversion和git的源码托管服务,这样创业型团队或者跨地域团队就可以异地办公,实现跨地域的协同管理。

在实际运营无忧在线过程中,安全是很多客户比较关心的问题。对于这个问题我们通过很多种手段来加以解决,比如操作系统层面,应用程序层面等等。最近无忧在线项目管理又上线了https访问功能,进一步加强了无忧在线的安全性。

下面是笔者配置无忧在线https访问的过程,谨供大家参考。

一、https协议简介

我们平常访问网站默认使用的是http协议,但http协议是没有加密的,所有的内容都是以明文的方式在网络上进行传输,安全性无妨保证。https协议则很好的解决了这个问题。

根据维基百科(http://zh.wikipedia.org/wiki/HTTPS)的介绍,HTTPS的主要思想是在不安全的网络上创建一安全信道,并可在使用适当的加密包和服务器证书可被验证且可被信任时,对窃听和中间人攻击提供合理的保护。

HTTPS的信任继承基于预先安装在浏览器中的证书颁发机构(如VeriSign、Microsoft等)(意即“我信任证书颁发机构告诉我应该信任的”)。因此,一个到某网站的HTTPS连接可被信任,当且仅当:

用户相信他们的浏览器正确实现了HTTPS且安装了正确的证书颁发机构;

用户相信证书颁发机构仅信任合法的网站;

  • 被访问的网站提供了一个有效的证书,意即,它是由一个被信任的证书颁发机构签发的(大部分浏览器会对无效的证书发出警告);
  • 该证书正确地验证了被访问的网站(如,访问https://example时收到了给“Example Inc.”而不是其它组织的证书);
  • 或者互联网上相关的节点是值得信任的,或者用户相信本协议的加密层(TLS或SSL)不能被窃听者破坏。

因此部署https协议访问最为关键的就是证书。下面来看下https证书的分类。

二、https(ssl)证书分类

2.1 从证书颁发机构来分

从证书的签发机构来分,可以分为自我签发和专业的CA认证机构签发两种。如果只是公司内部使用,可以采用自我签发的方式来生成ssl证书,优势是完全免费的,部署也方便快捷。但缺点是浏览器默认认为这个自我签发的证书是不被信任的,会弹出警告页面,提示用户进行确认。比如ie下面这提示这样的页面:

\

这种方式给客户提供服务就非常不好。所以还是要购买专业CA机构颁发的证书。

2.2 从证书认证等级来分

从证书认证的等级来分,ssl证书可以分为DV, OV和EV三种:

  • DV是Domain Validation 的缩写,意思就是对网站域名所有权进行验证。CA认证机构会向域名持有者的邮箱发送相应的邮件,以确认证书