前言
最近有好几位同学直接微信赞助说快点更新文章。这个要和大家说声抱歉,的确很久没有写文章了。我们也不找借口,我会尽力保证多写文章。今天我们的主题来讲解 如何给自己的网站 加上HTTPS
HTTPS是什么?
相对于http,你会发现https 多了一个 S,没错这个S 表示的就是 Secure 安全的意思。为什么要加入这个? 主要是由于HTTP是明文传输的,如果被不法相关人截取了可以直接看到。并且在如今互联网下面 很多人都非常在乎隐私,所以HTTPS已经是趋势化的要求了。
HTTPS证书如何获得?
我们所知道的这个东西是要收费的,目前很多云服务商打着第一年免费的噱头和主机一起做活动(第二年就会收费的)。今天我们要来说的是如何免费获取HTTPS证书。
免费的安全?
其实https证书基本上都是安全的,因为现在的加密算法基本已经很难破解。这里面主要关注点应该在于 浏览器是否可以显示 绿标(或者安全锁)
而这个安全锁的显示 是浏览器内置了很多 信誉比较好的 SSL证书机构,这些机构颁发的SSL证书 浏览器认为是安全的 就会显示这个 安全锁。
而我们要说的这个免费的SSL证书颁发机构就是被浏览器认为安全的机构,所以不一定是免费的就一定不安全。
letsencrypt
letsencrypt 就是我们要说的免费SSL证书颁发商。我个人在很多地方都用这家免费的,唯一的缺点就是每3个月证书就过期,就需要重新签。3个月主要就是为了安全。而关于如何获取的 letsencrypt 很多大神都写了很多脚本,让我们可以傻瓜式的获取的。这里面非常出名的就是 ACME:
https://github.com/Neilpang/acme.sh/wiki/%E8%AF%B4%E6%98%8E 。
接下来我们就按照 官方的文档说法,来给我的 个人博客 添加 https证书。我这里所用的环境是linux ubuntu。
Step1:安装 acme.sh 脚本
#安装很简单,大家看我上面的链接文档就可以很清楚,我这里再给大家照本宣科下 #执行了如下命令之后 会在 ~/.acme.sh/ 进行安装,并且会自动创建 alias acme.sh=~/.acme.sh/acme.sh 和 crontab curl https://get.acme.sh | sh
如下图大家可以看看
Step2:生成证书
我这里直说一个方式,暴力简单方便 可以支持泛域名。由于我们说的这个大神脚本 指定 dnsapi,并且我也建议大家将域名解析放在dnspod 非常方便。
如下命令非常简单
export DP_Id="1234" export DP_Key="sADDsdasdgdsf" acme.sh --issue --dns dns_dp -d *.54php.cn --debug
如何获取 DP_ID 和 DP_Key?
执行过程大概需要1 ~ 5分钟,期间会在dnspod 自动通过api添加一条 txt记录的
Step3:nginx 配置证书
核心配置如下,其中里面的 ssl_certificate 和 ssl_certificate_key 可以看到就是我们上面截图的东西。配置好了就reload nginx 就好了
listen 443 ssl; ssl_certificate /home/ubuntu/.acme.sh/*.54php.cn/fullchain.cer; ssl_certificate_key /home/ubuntu/.acme.sh/*.54php.cn/*.54php.cn.key; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA; ssl_session_cache shared:SSL:50m;
效果展示
大家可以访问 https://www.54php.cn 看看效果的
可以看到上图 我用绿色圈起来的地方就是 有效期 3月26日 到 6月24日。有同学可能发现 哎 为什么你的浏览器里面没有 安全锁,是因为我刚开始写博客的时候 很多图片用的就是http ,而如果在https 中混合使用 http 就会出现混合情况,就不会显示 安全锁。
注意事项
No1:网站要同时支持https和http ,nginx配置要当心
listen 443 ssl; ssl on;
主要区别就是上面的,如果配置了 ssl on 那么就会强制走https协议。所以一般我们是使用最上面第一行代码
No2:微信小程序出现 request:fail ssl hand shake error
在我们使用acme.sh 生产了很多 证书文件 如果你使用如下配置就会不对(android 测试机器已经发现问题) ssl_certificate /home/ubuntu/.acme.sh/*.54php.cn/*.54php.cn.cer; ssl_certificate_key /home/ubuntu/.acme.sh/*.54php.cn/*.54php.cn.key; 正确的是应该是 ssl_certificate /home/ubuntu/.acme.sh/*.54php.cn/fullchain.cer; ssl_certificate_key /home/ubuntu/.acme.sh/*.54php.cn/*.54php.cn.key;
大家对比下 就可以发现了。而具体原因还要分析下,肯定是缺少了中间证书导致的,后面我会发一篇文章专门来解答 每个证书到底是干什么的。