使用TLS（HTTPS、WSS）加密通讯方式

使用TLS（HTTPS、WSS）加密通讯方式

一、为何使用TLS：

HTTP 协议以明文方式传输数据，这就带来三个风险：窃听风险、伪装风险、篡改风险。

HTTP 协议自身没有加密机制，但可以通过和 TLS (Transport Layer Security) / SSL (Secure Socket Layer) 的组合使用，加密 HTTP 的通信内容，借助 TLS / SSL 提供的信息加密功能、完整性校验功能、身份验证功能保障网络通信的安全，与 TLS / SSL 组合使用的 HTTP 被称为 HTTPS（HTTPSecure），可以说 HTTPS 相当于身披 SSL / TLS 外壳的 HTTP。

二、申请SSL证书：

目前域名DNS服务商都有提供免费的SSL证书申请（有效期一年，到期重新申请）。

各家的SSL证书申请流程大同小异，以DNSPOD为例：

（1）进入相关域名的管理界面，点击要申请SSL证书的域名右边的SSL图标，进入SSL证书申请界面。

（2）点击【申请免费证书】按钮，选择证书类型：

（3）填写申请信息：

申请成功后，点击证书下载，下载服务器类型为Apache的证书，并解压上传到服务器上。

解压后的文件如下（会因域名不同而不同）：

证书的有效期一般为1年，在到期前重新申请并上传到服务器更新。更新SSL证书后需要重新运行服务器端程序以重新加载证书。

三、开启TLS/SSL功能的设置：

使用TLS/SSL需要服务器端平台（cims.exe）更新为2.2版本。我们采用的是单端口同时承载加密（HTTPS、WSS）和不加密（HTTP、WS）的传输，支持TLS v1.3。

打开cims.ini，在[setup]下增加：

SSL = 1

SSL_key = 证书文件夹证书文件名.key

SSL_crt = 证书文件夹证书文件名.crt（或名叫*_public.crt）

SSL_ca = 证书文件夹 oot_bundle.crt（或名叫*_chain.crt)

SSL_force = 1

其中：SSL为是否开启TLS/SSL加密（1开启，0不开启）。SSL_force为是否强制使用HTTPS协议。

注意：证书的文件名会因申请证书的服务商不同而不同。

四、电脑端：

使用TLS/SSL电脑网页版需要更新到20230119及以后版本（主要是其中的 ws:// 更新为 wss://）。

如果开启了强制HTTPS，不论电脑端是否输入 https:// 都会强制跳转为 https:// 协议。

否则在浏览器地址栏中需要输入 https://你的域名:端口/ 这样的格式才能使用 HTTPS 方式进行通讯。

使用HTTPS后地址栏的“不安全”变成了一个小锁图标：

查看相关安全属性如下：

五、移动端：

移动端的登录界面上可以选择不加密方式：HTTP(不安全)，或加密方式：HTTPS（安全）。

在服务器列表中，左边绿色图标为HTTPS（安全），红色为HTTP（不安全）。

如果移动端未更新到新版本（没有第一行的HTTP和HTTPS的选择），可以在服务器地址前头增加“https://”来使用HTTPS加密。

如果服务器端不支持HTTPS或未开启SSL功能，而选择了使用HTTPS连接，将无法进行通讯，请等待超时后再切换回HTTP连接。