檢查

我們前往站點 Censys

檢查一下自己的ip是不是被他掃了出來？

可以看到，我的站點被掃到了很多。

解決方案

解決這個問題的方法非常的無腦簡單，那就是給自己的服務(wù)器IP簽發(fā)一個自簽證書，然后設(shè)置為默認站點即可。

自簽證書的前提是你的服務(wù)器安裝有Openssl等類似軟件。

我們在服務(wù)器端輸入

openssl version

復(fù)制

如果出現(xiàn)上圖中的版本號那么您服務(wù)代表安裝成功。

否則輸入以下指令安裝openssl

apt-get install openssl

復(fù)制

然后打開終端，輸入下列命令

通過openssl生成私鑰

openssl genrsa -out server.key 1024

復(fù)制

根據(jù)私鑰生成證書申請文件csr

openssl req -new -key server.key -out server.csr

復(fù)制

這里根據(jù)命令行向?qū)磉M行信息輸入：

Common Name可以輸入：*.yourdomain.com，這種方式生成通配符域名證書

使用私鑰對證書申請進行簽名從而生成證書

openssl x509 -req -in server.csr -out server.crt -signkey server.key -days 3650

復(fù)制

這樣就生成了有效期為：10年的證書文件，對于自己內(nèi)網(wǎng)服務(wù)使用足夠。

設(shè)為默認站點

各個系統(tǒng)的設(shè)為默認站點都不一樣，大家把證書部署完畢后設(shè)為以下就行。

我這邊只演示寶塔面板下的默認站點設(shè)置。

至此，ssl證書泄露源站ip的風險也解除了。