启用 https 的一点记录 - XIN.

启用 https 的一点记录

  in   tech with  0  comment

近两年越来越多的网站开始使用 https,https 是一个基于 http 协议开发,但是使用了 TLS/SSL 加密了传输数据,所以,简单点说 https 是 http 协议的“安全版”。最近博客从阿里云搬迁到腾讯云,也修改了几个程序上的 bug,顺便也启用了 https,记录一下。
证书

因为 https 采用 ssl 加密,所以部署 https时需要申请证书,证书的作用就是对浏览器和Web服务器双方的身份验证,推荐文章: 图解HTTPS 。

申请

这里我使用了 Let’s Encrypt 免费证书。虽然 Let’s Encrypt 只有3个月的有效期,但是因为有 certbot 自动部署工具,自动更新起来也非常简单。进入 certbot 主页,可以看到下图所示。
eQ3amaE.png!web.png
选择自己的web服务器类型和操作系统,比如我这里是 nginx+centos6.5,选择完毕之后会自动给出安装命令[以下命令以此为例]。

RedHat系
aayuqqr.png!web.png
Debian系
IjMRZvi.png!web.png
安装完之后执行 ./certbot-auto certonly 开始申请证书。申请证书有两种验证方式,一种是 standalone ,这种验证方式虽然也可以部署后,但是以后更新证书的时候需要重启 web 服务器,所以我采用了第二种 Webroot ,就是在网站根目录下生成一个文件,通过访问该文件来验证,不需要重启 web 服务器。

如果选择 Webroot 模式,并且web服务器开启请求重定向的话,需要把 certbot 生成的文件的路径开放,让请求可以命中。

选择验证模式之后,填写网站根目录以及域名,即可开始生成证书文件。以上操作也可以简化为一条命令 ./certbot-auto certonly --Webroot -d example.com -d www.example.com ,多个域名使用 -d 追加。

执行完毕如果产生类似以下代码,即成功生成。

    IMPORTANT NOTES:
     - Congratulations! Your certificate and chain have been saved at
       /etc/letsencrypt/live/your.domain.com/fullchain.pem. Your cert
       will expire on 20XX-09-23. To obtain a new or tweaked version of
       this certificate in the future, simply run certbot again. To
       non-interactively renew *all* of your certificates, run "certbot
       renew"
     - If you like Certbot, please consider supporting our work by:
    
       Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
       Donating to EFF:                    https://eff.org/donate-le

部署

接下来修改nginx配置,添加 443 端口的监听。

    listen 443 ssl;
        server_name  hersface.com www.hersface.com;
    
        ssl on;
        set $node_port 8360;
        ssl_certificate /etc/letsencrypt/live/hersface.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/hersface.com/privkey.pem;
        ssl_trusted_certificate /etc/letsencrypt/live/hersface.com/chain.pem;  
        ssl_session_timeout 5m;
        ssl_protocols TLSv1;
        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers   on;

重启nginx服务,访问网站,https 已经可以打开了。

证书更新

certbot 已经有更新命令,我们只需要部署定时任务就行

    30 2 15 * * /root/ssl/certbot-auto renew >> /var/log/le-renew.log

每月15号2:30执行更新,并保存任务日志。事实上90天才过期,完全可以在80天的时候自动更新,而且 Let’s Encrypt 也限制短期内不能频繁更新,但是不确定限制的时间是多少,因为申请完证书30天之后我使用更新命令的时候提示不需要更新。

##其他免费证书

腾讯云免费证书
沃通免费证书
阿里云免费证书

静态资源托管

之前博客的静态资源是托管在七牛的,使用的七牛免费域名。但是只能使用 http 的请求。因为在开启 https 的页面上如果存在 http 资源的话,浏览器会提示
f6z6Bbf.png!web.png
强迫症表示不能忍。但是七牛如果想使用 https 的话,要么使用 cdn,要么自定义域名。cdn 是按流量计费的,感觉没必要,所以使用自定义域名了(还得充值10块钱)
FvuE3ab.png!web.png
如果使用https域名的话需要上传证书和私钥的内容,这里的证书推荐使用腾讯云的免费证书,3年有效期,不用频繁续签。上传完配置域名canme解析,如果解析成功,被七牛检测到,就可以开始使用了该域名了。

多说兼容

由于博客一直使用的是多说的评论框,但是多说对 https 处理的非常不好。虽然 js 支持 https,但是用户的第三方头像和评论的表情图片都是引用的 http 地址,百度搜了一下解决方案基本上都是替换 js 里的链接为本地地址,并把原地址当参数传入,由程序处理,或者配置反向代理,获取原图内容,并输出。

参考文章:

让多说评论框完美支持HTTPS

于是我配置了一下反代。

location ~ "^/proxy/(.*)$" {
        resolver 8.8.8.8;
        proxy_pass http://$1;
        proxy_redirect off;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $remote_addr;
        expires 7d;
    }

但是之后发现效果并不好,觉得加载速度特别慢,不知道因为是配置有问题,还是浏览器并发限制导致的。

后来在 github 搜出来一个神器: https://github.com/rainwsy/duoshuo-https ,作者把第三方 http 地址改为七牛CDN处理。感谢!!!

至此,部署完毕。后面还需要再研究一下http2。

Responses