為您解碼網(wǎng)站建設(shè)的點(diǎn)點(diǎn)滴滴
發(fā)表日期:2018-09 文章編輯:小燈 瀏覽次數(shù):3509
如今https已經(jīng)是大勢(shì)所趨,https擁有很多優(yōu)點(diǎn),傳輸加密不會(huì)被運(yùn)營(yíng)商劫持;微信小程序已經(jīng)強(qiáng)制要求https,google明確表示https站點(diǎn)的權(quán)重相比于http要高。如果不想再看到右下角討厭的彈窗廣告,那么https將是你的首選。
https的類(lèi)型大致分為以下三種類(lèi)型:
OVSSL和EVSSL收費(fèi)昂貴,安全程度較高,一般適合企業(yè)和金融級(jí)別的產(chǎn)品,比如企業(yè)站點(diǎn)和銀行站點(diǎn)。目前ssl證書(shū)做的最好的是Symantec,Digicert于2017年12月1日 ,完成對(duì)Symantec證書(shū)服務(wù)的并購(gòu),所以目前大部分企業(yè)用的都是digicert的服務(wù)。但是對(duì)于個(gè)人站點(diǎn)來(lái)說(shuō),購(gòu)買(mǎi)如此昂貴的ssl證書(shū)實(shí)在不劃算。
這是阿里云上ssl證書(shū)的收費(fèi)價(jià)格,這個(gè)價(jià)格對(duì)于個(gè)人站點(diǎn)來(lái)說(shuō)顯然是高了,阿里云之前提供過(guò)免費(fèi)的個(gè)人站點(diǎn)ssl證書(shū),但是最近已經(jīng)把入口隱藏了,估計(jì)不會(huì)再提供免費(fèi)的ssl證書(shū)了。
那么對(duì)于個(gè)人站長(zhǎng)來(lái)說(shuō),有沒(méi)有性價(jià)比高的ssl證書(shū)呢?顯然是有的。Let's Encrypt是由Mozilla、Cisco、Akamai、IdenTrust、EFF等組織人員發(fā)起,主要的目的也是為了推進(jìn)網(wǎng)站從HTTP向HTTPS過(guò)度的進(jìn)程。
我申請(qǐng)的方式是通過(guò)certbot腳本的方式申請(qǐng)的,certbot相當(dāng)于做了一套自動(dòng)化申請(qǐng)的方式,不用人工去做審核了。首先需要?jiǎng)?chuàng)建自己的站點(diǎn),如果還沒(méi)有站點(diǎn)請(qǐng)看這篇文章,有非常詳細(xì)的介紹。
在安裝完nginx和部署完自己的站點(diǎn)后,就可以安裝letsencrypt了。首先需要確保服務(wù)器的443端口需要打開(kāi),如果是阿里云服務(wù)器,請(qǐng)先到安全組規(guī)則中打開(kāi)443端口。
yum install -y epel-release yum install -y certbot
完成之后,使用certbot申請(qǐng)證書(shū):
# 使用方法:certbot certonly --webroot -w [站點(diǎn)目錄](méi) -d [域名] -m [email地址] --agree-tos # 例子: certbot certonly --webroot -w /website/blog/ -d www.similarnote.com -m similarnote@gmail.com --agree-tos
我在執(zhí)行這段命令的時(shí)候還遇到了一個(gè)錯(cuò)誤,錯(cuò)誤如下:
這個(gè)錯(cuò)誤貌似是因?yàn)閜hyton版本的問(wèn)題引起的,如果出現(xiàn)這個(gè)錯(cuò)誤,那么運(yùn)行下如下的命令:
pip install --upgrade --force-reinstall 'requests==2.6.0' urllib3
email地址填寫(xiě)真實(shí)的email地址,因?yàn)閘etsencrypt會(huì)向你發(fā)送一封確認(rèn)郵件,并且在證書(shū)快過(guò)期時(shí),letsencrypt會(huì)向你發(fā)送過(guò)期郵件提醒。申請(qǐng)成功后,你會(huì)看到類(lèi)似以下的一段信息,這表明申請(qǐng)成功了。
IMPORTANT NOTES:- Congratulations! Your certificate and chain have been saved at.......Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donateDonating to EFF:https://eff.org/donate-le
證書(shū)保存的位置:
/etc/letsencrypt/live/www.testdomain.com/
letsencrypt證書(shū)的有效期默認(rèn)是90天,我們可以使用crontab表達(dá)式定期更新,更新證書(shū)的命令:
certbot renew --dry-run
設(shè)置證書(shū)定期更新,首先打開(kāi)crontab:
crontab -e
再輸入以下命令:
00 05 01 * * /usr/bin/certbot renew >> /var/log/letsencrypt/renew.log
這個(gè)時(shí)間可以自己設(shè)置,一般設(shè)置為每月運(yùn)行一次,上述表達(dá)式將在每月的1號(hào)凌晨5點(diǎn)執(zhí)行,執(zhí)行的日志將會(huì)被保存在renew.log中。
Perfect Forward Security是什么,可以看這里,這個(gè)東西很難說(shuō)清楚,畢竟不是專(zhuān)業(yè)人士,簡(jiǎn)而言之就是:反正很厲害,裝上就行了。
mkdir /etc/ssl/private/ -p cd /etc/ssl/private/ openssl dhparam 2048 -out dhparam.pem
這里我就以我自己站點(diǎn)的配置來(lái)舉例:
# 如果你想把普通http的訪問(wèn)跳轉(zhuǎn)到https,那么配置下301永久跳轉(zhuǎn) server { listen 80 default_server; listen [::]:80 default_server; server_namewww.similarnote.com similarnote.com; return 301 https://www.similarnote.com$request_uri;# Load configuration files for the default server block. include /etc/nginx/default.d/*.conf;location / { }error_page 404 /404.html; location = /40x.html { }error_page 500 502 503 504 /50x.html; location = /50x.html { } }# 這個(gè)節(jié)點(diǎn)才是配置ssl的 server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; # 填寫(xiě)你的域名 server_namewww.similarnote.com; # 你的網(wǎng)址路徑 root /website/blog/similarnote.com/; indexindex.html index.htm index.txt;# 以下?lián)Q成你的公私鑰地址 ssl_certificate /etc/letsencrypt/live/www.similarnote.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/www.similarnote.com/privkey.pem;# session緩存大小,1mb大概存儲(chǔ)4000個(gè)會(huì)話,根據(jù)自己站點(diǎn)情況設(shè)置 ssl_session_cache shared:SSL:2m; ssl_session_timeout30m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; ssl_session_tickets on;ssl_dhparam /etc/ssl/private/dhparam.pem;location / { }error_page 404 /404.html; location = /40x.html { }error_page 500 502 503 504 /50x.html; location = /50x.html { } }
至此,已經(jīng)完成了所有https的配置步驟了,效果可以看這里。
日期:2018-04 瀏覽次數(shù):6777
日期:2017-02 瀏覽次數(shù):3456
日期:2017-09 瀏覽次數(shù):3676
日期:2017-12 瀏覽次數(shù):3544
日期:2018-12 瀏覽次數(shù):4843
日期:2016-12 瀏覽次數(shù):4595
日期:2017-07 瀏覽次數(shù):13659
日期:2017-12 瀏覽次數(shù):3522
日期:2018-06 瀏覽次數(shù):4279
日期:2018-05 瀏覽次數(shù):4458
日期:2017-12 瀏覽次數(shù):3570
日期:2017-06 瀏覽次數(shù):3995
日期:2018-01 瀏覽次數(shù):3958
日期:2016-12 瀏覽次數(shù):3925
日期:2018-08 瀏覽次數(shù):4441
日期:2017-12 瀏覽次數(shù):3733
日期:2016-09 瀏覽次數(shù):6453
日期:2018-07 瀏覽次數(shù):3223
日期:2016-12 瀏覽次數(shù):3241
日期:2018-10 瀏覽次數(shù):3396
日期:2018-10 瀏覽次數(shù):3503
日期:2018-09 瀏覽次數(shù):3593
日期:2018-02 瀏覽次數(shù):3611
日期:2015-05 瀏覽次數(shù):3538
日期:2018-09 瀏覽次數(shù):3318
日期:2018-06 瀏覽次數(shù):3448
日期:2017-02 瀏覽次數(shù):3884
日期:2018-02 瀏覽次數(shù):4347
日期:2018-02 瀏覽次數(shù):4191
日期:2016-12 瀏覽次數(shù):3587
Copyright ? 2013-2018 Tadeng NetWork Technology Co., LTD. All Rights Reserved.