保护 http 连接答案

【问题标题】：Securing a http connection保护 http 连接
【发布时间】：2013-12-17 22:33:07
【问题描述】：

我正在寻找一些有关保护网站的信息。网站实际上是一种可以通过网络浏览器访问的管理控制台。该控制台目前仅在内部网络上可用，但我想让它通过 Internet 访问，仅适用于某些特定用户/设备。

我遇到的第一个问题是管理控制台根本没有提供身份验证。为了解决这个问题，我安装了 apache，我将其用作（反向？）代理并在其中启用了基本身份验证，因此现在我必须输入用户名和密码才能访问控制台。

接下来我要做的是防止用户名和密码以纯文本形式通过线路发送（我假设现在正在发生这种情况）。我想我必须为此建立一个 https 连接，但我找到了很多关于此的信息，所以我对如何继续有点迷茫。我可以使用自签名证书进行这项工作，还是需要在某处购买证书？

【问题讨论】：

最简单的可能是购买一个，这样它应该可以透明地在大多数/所有类型的客户上工作。如果您需要将自签名证书分发给各种移动客户端，则自签名证书尤其麻烦。如果客户端无法通过知道证书颁发机构或您的自签名证书来验证证书，则基本上没有针对中间人攻击的安全性。

【解决方案1】：

关于通过 https 保护密码是正确的。我建议通过 https 重定向服务器上的所有内容，遵循this article。

我建议在不购买任何东西的情况下测试整个解决方案。购买证书意味着它将绑定到您的服务器。我想当您开发解决方案时，您使用的是开发服务器。如果您为开发服务器购买证书，那么您将不得不为生产服务器购买另一个证书。因此，我会使用自签名证书进行开发，当应用程序准备好公开时，我会购买所有浏览器都认可的证书。

为了创建自签名证书，如果您在 linux 上工作，您可以关注this tutorial，或者如果您在 Windows 上工作，您可以关注this tutorial。

希望我能帮上忙！

【讨论】：