HTTPS作用
HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。HTTPS相当于在HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
HTTPS作为一种全新的安全协议,对网站本身以及访问网站的网友都有着更好的安全性,防止隐私泄露。HTTPS可以避免第三方窃听或阻断流量,保护用户的隐私和安全,提升口碑。比如可以防止国内某运营商对网站做一些劫持,插入广告弹窗啥的。此外,HTTPS 的网站在搜索引擎中的 rank 会更高,SEO效果会更好。
HTTPS免费证书部署
我用的是 Let’s Encrypt 这个免费的解决方案。Let’s Encrypt 是一个于2015年推出的数字证书认证机构,将通过旨在消除当前手动创建和安装证书的复杂过程的自动化流程,为安全网站提供免费的SSL/TLS证书。这是由互联网安全研究小组(ISRG – Internet Security Research Group,一个公益组织)提供的服务。主要赞助商包括电子前哨基金会,Mozilla基金会,Akamai以及Cisco等公司(赞助商列表)。
2015年6月,Let’s Encrypt 得到了一个存储在硬件安全模块中的离线的 RSA 根证书。这个由 IdenTrust 证书签发机构交叉签名的根证书被用于签署两个证书。其中一个就是用于签发请求的证书,另一个则是保存在本地的证书,这个证书用于在上一个证书出问题时作备份证书之用。因为 IdenTrust 的 CA 根证书目前已被预置于主流浏览器中,所以 Let’s Encrypt 签发的证书可以从项目开始就被识别并接受,甚至当用户的浏览器中没有信任 ISRG 的根证书时也可以。
Consul是一个分布式高可用的系统。
证书部署
1)打开 https://certbot.eff.org 网页。
2)在那个机器上图标下面,你需要选择一下你用的 Web 接入软件 和你的 操作系统。比如,我选的,nginx 和 Centos6
3)然后就会页面下方会有一系列的安装教程。你就照着做一遍就好了。
以 www.hyperxu.com 为例 – Nginx + Centos6
根据系统的不通,安装方法也略有不同,Centos6需要通过相关安装脚本进行部署。
首先下载certbot的自动安装脚本:
wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
然后,运行如下命令:
$ sudo ./path/to/certbot --nginx
certbot 会自动检查到你的 nginx.conf 下的配置,把你所有的虚拟站点都列出来,然后让你选择需要开启 https 的站点。你就简单的输入列表编号(用空格分开),然后,certbot 就帮你下载证书并更新 nginx.conf 了。
打开你的 nginx.conf 文件 ,你可以发现你的文件中的 server 配置中可能被做了如下的修改:
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/coolshell.cn/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/coolshell.cn/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
和
# Redirect non-https traffic to https
if ($scheme != "https") {
return 301 https://$host$request_uri;
} # managed by Certbot
这里建议配置 http2,这要求 Nginx 版本要大于 1.9.5。HTTP2 具有更快的 HTTPS 传输性能,非常值得开启(关于性能你可以看一下这篇文章)。需要开启HTTP/2其实很简单,只需要在 nginx.conf 的 listen 443 ssl; 后面加上 http2 就好了。如下所示:
listen 443 ssl http2; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/coolshell.cn/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/coolshell.cn/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
然后,就 nginx -s reload 就好了。
证书续订
Certbot可以配置为在其过期之前自动续订证书。由于让我们加密证书持续了90天,所以建议您充分利用此功能。您可以通过运行以下命令来测试证书的自动续订:
$ sudo ./path/to/certbot-auto renew --dry-run
设置上自动化的更新脚本,最容易的莫过于使用 crontab 了。使用 crontab -e 命令加入如下的定时作业(每个月都强制更新一下):
0 0 1 * * /usr/bin/certbot renew --force-renewal
5 0 1 * * /usr/sbin/service nginx restart
HTTPS站点调整
在nginx或apache上启用HTTPS后,还没有结束。你可能还需要修改一下你的网站,不然你的网站在浏览时会出现各种问题。
启用HTTPS后,你的网页中的所有的使用 http:// 的方式的地方都要改成 https:// 不然你的静态资源文件等非https的连接都会导致浏览器抱怨不安全而被block掉。所以,你还需要修改你的网页中那些 hard code http:// 的地方。
其大致思路如下:
修改站内资源调用为相对路径或者为HTTPS请求。
修改站外资源调用方式为HTTPS请求。