ServBay

简体中文

English
繁體中文
Español
العربية
Português
Русский
日本語
Deutsch
Français
Tiếng Việt
Türkçe
Italiano

简体中文

English
繁體中文
Español
العربية
Português
Русский
日本語
Deutsch
Français
Tiếng Việt
Türkçe
Italiano

Appearance

ServBay SSL 证书支持及使用

SSL 证书对于现代网站和应用至关重要,它能加密连接,保护用户数据,并提升网站的可信度。在本地开发环境中启用 HTTPS 同样重要,它可以模拟生产环境,帮助您发现潜在的安全问题,并确保依赖安全连接的功能(如 Service Worker、HSTS 等)正常工作。ServBay 提供强大的 SSL 证书支持,让您可以轻松地在本地管理和部署各种类型的证书,确保您的开发和测试环境安全无虞。

ServBay SSL管理面板

SSL 证书的作用及重要性

SSL 证书(确切地说,是 TLS/SSL 证书)通过在服务器和客户端(如 Web 浏览器)之间建立加密连接,保护敏感数据不被窃取或篡改。它还能验证服务器身份,防止用户访问恶意的钓鱼网站。在本地开发中使用 SSL/HTTPS 的主要作用包括:

  • 数据加密: 保护本地测试环境中的敏感数据,模拟生产环境下的数据传输安全。
  • 身份验证: 在本地验证您正在访问的是预期的开发站点,而非其他意外资源。
  • 模拟生产环境: 许多现代 Web 功能和服务(如地理位置 API、WebRTC、Progressive Web Apps (PWA) 中的 Service Worker 等)要求在安全上下文(HTTPS)中运行。在本地启用 HTTPS 可以确保这些功能在开发阶段就能正常工作。
  • 避免浏览器警告: 在本地测试时,使用有效的(即使是自签名但被本地信任的)SSL 证书可以避免浏览器关于不安全连接的警告,提供更流畅的开发体验。
  • SEO 优化(生产环境): 虽然这主要是针对生产环境,但理解其重要性有助于开发者在构建应用时考虑安全性。搜索引擎(如 Google)优先收录 HTTPS 网站,并将其作为排名因素。

ServBay 支持的 SSL 证书类型与签发方式

ServBay 支持多种 SSL 证书类型和签发方式,以满足不同的开发和测试需求:

支持的证书签发机构 (CA) / 签发方式

  • ServBay User CA: ServBay 提供的本地用户级 CA,专为方便用户快速生成和部署自签名证书而设计,特别适合本地开发和测试环境。这些证书默认不被公共浏览器信任,但可以通过在操作系统中安装 ServBay User CA 的根证书来使其在本地受信任。
  • ServBay Public CA: ServBay 提供的公共 CA 服务,签发的证书被所有安装了 ServBay Public CA 根证书的用户信任,适合团队内部共享或小范围的生产环境使用。
  • ACME 协议支持: ServBay 完全支持 ACME 协议,可以自动化获取和更新来自支持 ACME 的 CA 的证书,例如:
    • Let's Encrypt: 免费、自动化的证书颁发机构,广泛应用于生产环境。ServBay 提供集成支持,方便用户获取和更新 Let's Encrypt 证书。
    • ZeroSSL: 另一个提供免费证书的 CA,同样支持 ACME 协议,ServBay 也提供支持。
    • Google Trust Services: 由 Google 提供的免费证书 CA,支持 ACME 协议,ServBay 也提供集成支持。
  • 第三方 CA 证书: 您可以上传和管理从其他受信任的第三方 CA(如 DigiCert, Sectigo 等)购买或获取的证书。

ServBay 可管理的证书类型

除了用于保护 Web 站点通信的 域名证书 (TLS/SSL) 外,ServBay 的证书管理功能也支持管理其他类型的证书,尽管它们主要用于不同的目的:

  • 代码签名证书 用于验证软件开发者身份和代码完整性,防止恶意软件传播。ServBay 支持管理代码签名证书。
  • 邮件签名证书 (S/MIME) 用于对电子邮件进行数字签名和加密,确保邮件的真实性和机密性。ServBay 支持管理 S/MIME 证书。
  • 文档签名证书 用于对数字文档进行数字签名,确保文档的真实性和完整性。ServBay 支持管理文档签名证书。

请注意: 在 ServBay 中配置 Web 站点使用 HTTPS 时,主要使用的是域名证书 (TLS/SSL)。其他证书类型(代码签名、S/MIME、文档签名)的管理功能是 ServBay 提供的额外便利,与 Web 站点的 HTTPS 配置本身无直接关联。

ServBay 的 SSL 证书管理功能亮点

ServBay 提供一系列便捷的 SSL 证书管理功能,简化了在本地环境中启用 HTTPS 的过程:

  • 创建网站时自动生成 SSL 证书: 在 ServBay 中创建新的网站(Website)时,系统可以自动使用 ServBay User CA 为该网站生成并部署一个 SSL 证书。这极大简化了网站的初始设置,确保所有新创建的本地网站都能默认启用 HTTPS,无需任何手动配置。
  • 图形化界面管理: ServBay 提供直观的图形用户界面,让您可以轻松查看、导入、导出、删除和管理您的 SSL 证书。
  • 通过 ACME 协议自动申请和续期: 利用内置的 ACME 客户端,您可以直接在 ServBay 界面中为您的本地或公共域名申请 Let's Encrypt 、Google Trust Services 或 ZeroSSL 等 CA 签发的证书,并配置自动续期,免去手动操作的繁琐。
  • 支持导入第三方证书: 如果您已经拥有从其他 CA 获取的证书文件(如 .crt, .key, .pfx 等格式),可以直接通过 ServBay 界面导入并应用到您的网站。
  • ServBay CA 根证书管理: ServBay 在设置中提供便捷的入口,引导您安装 ServBay User CA 和 ServBay Public CA 的根证书到您的操作系统或浏览器信任库中,从而使这些 CA 签发的证书在本地被信任,避免浏览器警告。

ServBay User CA 与 ServBay Public CA 的区别与使用

ServBay 提供两种自有的 CA 服务,各有其适用场景:

  • ServBay User CA:
    • 目的: 专为单个 ServBay 用户在本地开发、测试环境快速生成自签名证书而设计。
    • 信任: 默认不被公共浏览器信任。需要在本地操作系统或浏览器中手动安装 ServBay User CA 的根证书,才能使该 CA 签发的证书在本地被信任,从而在访问 https://servbay.demohttps://your-project.servbay.demo 等本地开发域名时,浏览器显示安全连接(绿色锁)。
    • 适用场景: 个人开发者进行日常本地开发和测试。
  • ServBay Public CA:
    • 目的: 旨在为ServBay 用户群体提供一个相互信任的证书颁发源。
    • 信任: 需要安装 ServBay Public CA 的根证书才能被信任。一旦安装,所有由 ServBay Public CA 签发的证书都会在该环境中被信任。
    • 适用场景: 团队内部共享开发/测试环境,或者在特定受控的小范围生产环境中使用,确保团队成员之间共享的本地或内部服务能够使用被信任的 HTTPS 连接。

如何信任 ServBay User CA 证书:

要在您的本地机器上让浏览器信任 ServBay User CA 签发的证书,您需要将 ServBay User CA 的根证书添加到操作系统的信任存储中。在安装 ServBay 时已经自动为用户添加并信任了 ServBay User CAServBay Public CA 根证书。

如果因为某些原因导致 ServBay CA 根证书不被信任,用户可以在 ServBay 的设置中重新进行安装和信任。安装后,访问使用 ServBay User CA 证书配置的本地网站时,浏览器将不再显示证书警告。

如何在 ServBay 中使用 SSL 证书(示例)

以下是在 ServBay 中配置 SSL 证书的几种常见场景:

  1. 创建新网站并自动使用 ServBay User CA 证书:

    • 打开 ServBay 应用程序。
    • 进入“网站 (Websites)”管理界面。
    • 点击添加新网站的按钮。
    • 输入网站域名(例如:myproject.servbay.demo),设置网站根目录(例如:/Applications/ServBay/www/myproject)。
    • 确保选择了“HTTP & HTTPS”或“HTTPS”选项(ServBay 默认会勾选并使用 ServBay CA)。
    • 保存设置。ServBay 会自动生成证书并配置您的 Web 服务器(Caddy, Nginx 或 Apache)使用 HTTPS。

  2. 为现有网站配置 ServBay User CA 证书:

    • 进入“网站 (Websites)”管理界面。
    • 选择您想要配置的网站。
    • 编辑网站设置,选择“HTTP & HTTPS”或“HTTPS”选项。
    • 选择使用 ServBay CA 来签发证书,如果证书尚未生成,ServBay 会自动生成。
    • 保存设置并重启 Web 服务器。

  3. 使用 ACME 协议申请 Let's Encrypt、ZeroSSL 或 Google Trust Services 证书:

    • 进入 ServBay 的证书管理界面,点击右上角的+按钮。
    • 选择通过 ACME 协议申请证书
    • 输入您要申请证书的域名(需要是可以通过互联网访问的真实域名,因为 ACME 需要进行域名所有权验证)。
    • 选择 ACME 提供商(如 Let's EncryptZeroSSLGoogle Trust Services)。
    • 按照界面选择验证方式并输入验证信息(DNS-01 验证)。
    • 一旦证书签发成功,您可以将其分配给 ServBay 中对应的网站。ServBay 支持配置 ACME 证书的自动续期。

注意事项

  • 信任根证书: 使用 ServBay User CA 或 ServBay Public CA 签发的证书时,需要在本地操作系统中安装对应的根证书,否则浏览器会显示不信任的警告。ServBay 在设置界面中提供了便捷的安装方式。
  • ACME 验证: 因为大部分本地开发环境并不对外暴露,出于安全考虑,使用 ACME 协议申请证书(如 Let's Encrypt)需要使用 DNS API 方式,详情请参考如何使用 DNS API
  • 证书有效期: 大多数公共 CA 签发的证书都有有效期(例如 Let's Encrypt 证书有效期为 90 天),请注意及时续期。ServBay 对 ACME 证书提供自动续期支持。ServBay User CA 证书的有效期通常较长。

常见问题 (FAQ)

问:为什么我在浏览器中访问本地的 ServBay 网站时,即使启用了 HTTPS,仍然显示“不安全”或证书警告?

答:这通常是因为您的网站使用的是 ServBay User CA 签发的证书,而 ServBay User CA 的根证书尚未被您的操作系统或浏览器信任。ServBay User CA 是一个本地的、非公共信任的 CA。要解决此问题,您需要在 ServBay 的设置界面找到安装 ServBay User CA 根证书的选项,并按照指引将其安装到您的系统信任存储中。安装完成后,重启浏览器即可看到安全连接标识。

问:每个用户的 ServBay User CA 一样吗?是否会因为别的用户使用 ServBay User CA 签发了证书,导致我本地出现安全问题?

答:不会有任何安全问题。因为每个用户的 ServBay User CA 和 key 都不一样。ServBay User CA 是在用户安装 ServBay 的同时在用户本地签发并管理的。如果用户卸载了 ServBay 后重新安装,会重新签发一张新的 ServBay User CA 和对应的 key,原有的 ServBay User CA 和 key 会失效。

总结

ServBay 为 Web 开发者提供了全面且易于使用的 SSL 证书支持。无论您是需要为本地开发快速启用 HTTPS,还是需要管理通过 ACME 协议获取的公共证书,亦或是导入第三方证书,ServBay 都能满足您的需求。通过自动化的证书生成、直观的管理界面以及对多种签发方式的支持,ServBay 大大简化了在本地 Web 开发环境中保障连接安全的过程,让您可以更专注于构建强大的应用程序。