证书
因为 https 采用 ssl 加密,所以部署 https时需要申请证书,证书的作用就是对浏览器和Web服务器双方的身份验证,推荐文章: 图解HTTPS 。
这里我使用了 Let’s Encrypt 免费证书。虽然 Let’s Encrypt 只有3个月的有效期,但是因为有 certbot 自动部署工具,自动更新起来也非常简单。进入 certbot 主页,可以看到下图所示。
选择自己的web服务器类型和操作系统,比如我这里是 nginx+centos6.5,选择完毕之后会自动给出安装命令[以下命令以此为例]。
RedHat系
Debian系
安装完之后执行 ./certbot-auto certonly 开始申请证书。申请证书有两种验证方式,一种是 standalone ,这种验证方式虽然也可以部署后,但是以后更新证书的时候需要重启 web 服务器,所以我采用了第二种 Webroot ,就是在网站根目录下生成一个文件,通过访问该文件来验证,不需要重启 web 服务器。
如果选择 Webroot 模式,并且web服务器开启请求重定向的话,需要把 certbot 生成的文件的路径开放,让请求可以命中。
选择验证模式之后,填写网站根目录以及域名,即可开始生成证书文件。以上操作也可以简化为一条命令 ./certbot-auto certonly --Webroot -d example.com -d www.example.com
,多个域名使用 -d 追加。
执行完毕如果产生类似以下代码,即成功生成。
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/your.domain.com/fullchain.pem. Your cert
will expire on 20XX-09-23. To obtain a new or tweaked version of
this certificate in the future, simply run certbot again. To
non-interactively renew *all* of your certificates, run "certbot
renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
接下来修改nginx配置,添加 443 端口的监听。
listen 443 ssl;
server_name hersface.com www.hersface.com;
ssl on;
set $node_port 8360;
ssl_certificate /etc/letsencrypt/live/hersface.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hersface.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/hersface.com/chain.pem;
ssl_session_timeout 5m;
ssl_protocols TLSv1;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
重启nginx服务,访问网站,https 已经可以打开了。
certbot 已经有更新命令,我们只需要部署定时任务就行
30 2 15 * * /root/ssl/certbot-auto renew >> /var/log/le-renew.log
每月15号2:30执行更新,并保存任务日志。事实上90天才过期,完全可以在80天的时候自动更新,而且 Let’s Encrypt 也限制短期内不能频繁更新,但是不确定限制的时间是多少,因为申请完证书30天之后我使用更新命令的时候提示不需要更新。
##其他免费证书
腾讯云免费证书
沃通免费证书
阿里云免费证书
之前博客的静态资源是托管在七牛的,使用的七牛免费域名。但是只能使用 http 的请求。因为在开启 https 的页面上如果存在 http 资源的话,浏览器会提示
强迫症表示不能忍。但是七牛如果想使用 https 的话,要么使用 cdn,要么自定义域名。cdn 是按流量计费的,感觉没必要,所以使用自定义域名了(还得充值10块钱)
如果使用https域名的话需要上传证书和私钥的内容,这里的证书推荐使用腾讯云的免费证书,3年有效期,不用频繁续签。上传完配置域名canme解析,如果解析成功,被七牛检测到,就可以开始使用了该域名了。
由于博客一直使用的是多说的评论框,但是多说对 https 处理的非常不好。虽然 js 支持 https,但是用户的第三方头像和评论的表情图片都是引用的 http 地址,百度搜了一下解决方案基本上都是替换 js 里的链接为本地地址,并把原地址当参数传入,由程序处理,或者配置反向代理,获取原图内容,并输出。
让多说评论框完美支持HTTPS
于是我配置了一下反代。
location ~ "^/proxy/(.*)$" {
resolver 8.8.8.8;
proxy_pass http://$1;
proxy_redirect off;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
expires 7d;
}
但是之后发现效果并不好,觉得加载速度特别慢,不知道因为是配置有问题,还是浏览器并发限制导致的。
后来在 github 搜出来一个神器: https://github.com/rainwsy/duoshuo-https ,作者把第三方 http 地址改为七牛CDN处理。感谢!!!
至此,部署完毕。后面还需要再研究一下http2。
本文由 lscho 创作,采用知识共享署名4.0国际许可协议进行许可
本站文章除注明转载/出处外,均为本站原创或翻译,转载前请务必署名
最后编辑时间为: 03 22, 2018