跳到主要内容

在已有防火墙的情况下,在 SiteLock 中配置 SSL

保障您的在线存在安全对企业来说非常重要,而在已有防火墙的情况下在 SiteLock 中设置 SSL 是关键步骤。SSL 证书加密敏感信息,防止未经授权的访问,并建立用户信任。SiteLock 提供了一种简便的方法来配置 SSL,即使您已经有防火墙。只要按照正确的步骤操作,您就能保护网站数据,同时确保防火墙仍能有效工作。
本文将详细介绍如何在 SiteLock 中配置 SSL,以确保与 SiteLock 防火墙的无缝兼容。
本文讨论的主题如下:

  • 自定义安装 SSL ⤵
  • Incapsula 共享 SSL ⤵
  • 第一步:管理 SSL 证书 ⤵
  • 如何验证域名所有权 ⤵
  • 如何在 SiteLock 控制面板中安装 SSL ⤵
  • 第二步:管理路由 ⤵
  • 提示与建议 ⤵
  • 相关文章 ⤵

自定义安装 SSL

前提条件

在将 SSL 安装到 Web 应用防火墙(WAF)之前,必须先在主机服务器上安装并正常运行。为了在不取消配置 WAF 的情况下测试,您可以修改 hosts 文件,强制计算机直接解析域名到主机 IP,绕过 WAF,而不取消其配置。

优点

使用客户的 SSL 安装到 WAF 的最大好处是,任何想查看 SSL 信息的人只能看到该站点的信息。由于 SSL 是颁发给特定域名的,只有该域名对查看 SSL 信息的第三方可见。

缺点

当 SSL 直接安装到 WAF 时,如果 SSL 有任何更改,则需要在 WAF 上重新配置。如果 SSL 续期、重新生成密钥以包含其他域名/子域名或因任何原因修改,都需要在 WAF 上重新配置。

总结

这是适合注重访客信息隐私且不介意在 SSL 变更时重新配置的企业或客户的理想选择。

Incapsula 共享 SSL

SiteLock 与 Incapsula 合作为其防火墙需求服务。我们利用 Incapsula 每个 WAF 都分配有 SSL 的特点。通过向 Incapsula 验证站点管理员希望使用 WAF SSL 来保护其站点,站点域名将被添加为 WAF SSL 的受保护域。

前提条件

在将 SSL 安装到 WAF 之前,必须先在主机服务器上安装并正常运行。为了在不取消配置 WAF 的情况下测试,您可以修改 hosts 文件,强制计算机直接解析域名到主机 IP,绕过 WAF,而不取消其配置。

优点

这是一个以便利性为导向的选项。通过向站点 DNS 添加 TXT 记录,我们可以向 Incapsula 验证站点管理员希望被包含在防火墙的 SSL 中。验证通过后,站点域名将被添加到现有的 WAF SSL 中。这非常好,因为如果客户的 SSL 续期、重新生成密钥或修改,都无关紧要。只要主机端正确更新 SSL,Incapsula SSL 就会继续覆盖站点,无需在 SiteLock 端做任何更改。

缺点

当站点使用 WAF SSL 时,如果有人查看 SSL 信息,SSL 会被分配给 Incapsula.com。该域名将作为 SAN(主题备用名称)包含在内,实际上是 SSL 保护的附加域名。换句话说,站点域名将与许多其他域名共用同一个 SSL。这可能会给查看 SSL 信息的第三方留下“不专业”的印象,并且会看到许多看似随机的域名绑定在同一 SSL 上。

总结

这是适合博客作者或不介意 SSL 中包含其他域名且喜欢配置一次后无需再次操作的客户的极佳选择。

第一步:管理 SSL 证书

为了确保 SSL 流量通过 SiteLock 防火墙路由,您需要验证域名所有权,并确保在 SiteLock 控制面板中安装了 SSL 证书。

如何验证域名所有权

请注意,DNS 更改可能需要 24 到 48 小时才能生效。

  1. 通过您的客户门户访问 SiteLock 控制面板。
  2. SiteLock 控制面板 中,导航至您需要管理的域名的 设置向导 部分。
    SSL in SiteLock - Firewall & CDN - Set Up button
  3. 点击 防火墙激活 标签。
  4. 验证域名所有权 部分,复制 TXT 记录
    SSL in SiteLock - Copy TXT record
  5. 进入您的域名控制面板并添加 TXT 记录。
    如果您的域名由 HostGator 管理,请返回客户门户并导航至 域名 标签以添加 TXT 记录。有关如何管理 DNS 的说明,请参阅文章《如何更改从 HostGator 购买的域名的 DNS 记录》。
  6. 允许 DNS 传播,通常需要 24 小时。验证通过后,防火墙与 CDN 部分将显示“SSL 流量通过防火墙路由。
    SSL in SiteLock - "SSL traffic is routing via the firewall."
  7. 点击 继续 以进行下一步。

如何在 SiteLock 控制面板中安装 SSL

要在 SiteLock 控制面板中安装 SSL 证书,您需要证书文件(.crt)和私钥文件(.rsa key)。有关查找这些文件的说明,请参阅文章《如何配置 SSL 以配合 SiteLock CDN 使用》。

  1. 防火墙激活 标签下,向下滚动至 管理证书 部分。
  2. 点击 上传证书 按钮。
    如果您看不到此选项,则表示 Web 应用防火墙(WAF)无法检测到主机服务器上的 SSL。您可以进入 站点设置 标签下的 常规设置 部分,检查 站点 IP,确保您的 WAF 指向安装了 SSL 的正确主机 IP。
    SSL in SiteLock - Site IP Address
  3. 在弹出窗口中,点击 选择文件 按钮,浏览并选择您的证书文件(.crt)和私钥文件(.rsa key),然后点击 提交
    SSL in SiteLock - Upload Certificate and Private Key files
  4. 弹窗关闭后,点击 继续 按钮完成此步骤。
  5. 验证完成后,管理证书 部分应显示 SSL 已安装。
    SSL in SiteLock - SSL already installed
    SSL 证书来源” 会告诉您当前的设置。如果显示来源为“客户”,则表示 SSL 已安装在 WAF 上。
    SSL in SiteLock - Source of SSL Certificate - Customer
    如果显示来源为“网络”,则表示站点使用的是 Incapsula 的 SSL。
    SSL in SiteLock - Source of SSL Certificate - Network
  6. 点击 继续 以进行下一步。

第二步:管理路由

要激活防火墙,您需要修改网站的 DNS 记录,使流量通过 SiteLock 的 CDN 路由。
如果您的域名由 HostGator 管理,您可以在 域名 标签下管理 DNS 记录。有关如何管理 DNS 的说明,请访问文章《如何更改从 HostGator 购买的域名的 DNS 记录》。

  1. 设置向导 中,删除 DNS 记录 表格将显示您需要删除的域名 DNS 记录。
  2. 添加 添加 DNS 记录 表格中显示的 DNS 记录。
    SSL in SiteLock - Firewall & CDN - Manage Routing
    请注意,上图表格中显示的值仅为示例值。您的 SiteLock 控制面板将提供您需要删除和添加到域名的准确 DNS 记录值。
  3. 完成后,点击 我已完成这些步骤 按钮。等待 DNS 记录完全传播。

提示与建议

  • 一个非常有用的 SSL 测试工具是 https://www.sslshopper.com/ssl-checker.html。该工具可让您检查域名上安装的 SSL,包括过期日期。如果您的域名指向 SiteLock 的 WAF 但未配置 SSL,测试结果将不可靠。

  • 在防火墙配置和测试完成之前,不要强制网站使用 HTTPS。未经正确设置强制使用 HTTPS 可能导致网站无法访问并显示安全错误。常见错误是,在 WordPress 中设置了安全 URL,但未正确设置 WAF 和 SSL。一个例子是,某些网站的 WordPress 站点主页/站点 URL 显示为安全 URL,但实际上没有完整的 WAF + SSL 配置。

  • 若需修改 hosts 文件,请参阅以下文章:如何更改我的 Hosts 文件?请注意,如果操作不当,可能对您的计算机造成严重影响。

  • 这里还有另一篇文章,您可以参考以了解更多关于使用 SiteLock 防火墙的信息:如何配置 SSL 以配合 SiteLock CDN 使用。

至此,您应该熟悉 SiteLock 用于安装 SSL 到防火墙的两种流程。如果 SSL 已存在,这与首次设置新防火墙的过程相同。如果在此过程中遇到任何问题,请及时联系 SiteLock 支持,他们会尽力协助。

相关文章

  • 如何配置 SSL 以配合 SiteLock CDN 使用
  • SiteLock 激活与访问
  • SiteLock 概述与资源