摘要：最近博客從阿里云搬遷到騰訊云，也修改了幾個程序上的，順便也啟用了，記錄一下。是按流量計費的，感覺沒必要，所以使用自定義域名了還得充值塊錢如果使用域名的話需要上傳證書和私鑰的內容，這里的證書推薦使用騰訊云的免費證書，年有效期，不用頻繁續簽。

近兩年越來越多的網站開始使用 https，https 是一個基于 http 協議開發，但是使用了 TLS/SSL 加密了傳輸數據，所以，簡單點說 https 是 http 協議的“安全版”。最近博客從阿里云搬遷到騰訊云，也修改了幾個程序上的 bug，順便也啟用了 https，記錄一下。

因為 https 采用 ssl 加密，所以部署 https時需要申請證書，證書的作用就是對瀏覽器和Web服務器雙方的身份驗證，推薦文章：圖解HTTPS。
1. 申請
這里我使用了Let"s Encrypt免費證書。雖然 Let"s Encrypt 只有3個月的有效期，但是因為有certbot自動部署工具，自動更新起來也非常簡單。進入 certbot 主頁，可以看到下圖所示。

選擇自己的web服務器類型和操作系統，比如我這里是 nginx+centos6.5，選擇完畢之后會自動給出安裝命令[以下命令以此為例]。
RedHat系
Debian系

安裝完之后執行./certbot-auto certonly開始申請證書。申請證書有兩種驗證方式，一種是standalone，這種驗證方式雖然也可以部署后，但是以后更新證書的時候需要重啟 web 服務器，所以我采用了第二種Webroot，就是在網站根目錄下生成一個文件，通過訪問該文件來驗證，不需要重啟 web 服務器。

如果選擇 Webroot 模式，并且web服務器開啟請求重定向的話，需要把 certbot 生成的文件的路徑開放，讓請求可以命中。

選擇驗證模式之后，填寫網站根目錄以及域名，即可開始生成證書文件。以上操作也可以簡化為一條命令./certbot-auto certonly --Webroot -d example.com -d www.example.com，多個域名使用-d追加。
執行完畢如果產生類似以下代碼，即成功生成。

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/your.domain.com/fullchain.pem. Your cert
   will expire on 20XX-09-23. To obtain a new or tweaked version of
   this certificate in the future, simply run certbot again. To
   non-interactively renew *all* of your certificates, run "certbot
   renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let"s Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

2. 部署
接下來修改nginx配置，添加 443 端口的監聽。

    listen 443 ssl;
    server_name  hersface.com www.hersface.com;

    ssl on;
    set $node_port 8360;
    ssl_certificate /etc/letsencrypt/live/hersface.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/hersface.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/hersface.com/chain.pem;  
    ssl_session_timeout 5m;
    ssl_protocols TLSv1;
    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers   on;

重啟nginx服務，訪問網站，https 已經可以打開了。

3.證書更新
certbot 已經有更新命令，我們只需要部署定時任務就行
30 2 15 * * /root/ssl/certbot-auto renew >> /var/log/le-renew.log
每月15號2:30執行更新，并保存任務日志。事實上90天才過期，完全可以在80天的時候自動更新，而且 Let’s Encrypt 也限制短期內不能頻繁更新，但是不確定限制的時間是多少，因為申請完證書30天之后我使用更新命令的時候提示不需要更新。

4.其他免費證書
騰訊云免費證書
沃通免費證書
阿里云免費證書

之前博客的靜態資源是托管在七牛的，使用的七牛免費域名。但是只能使用 http 的請求。因為在開啟 https 的頁面上如果存在 http 資源的話，瀏覽器會提示

強迫癥表示不能忍。但是七牛如果想使用 https 的話，要么使用 cdn，要么自定義域名。cdn 是按流量計費的，感覺沒必要，所以使用自定義域名了（還得充值10塊錢）

如果使用https域名的話需要上傳證書和私鑰的內容，這里的證書推薦使用騰訊云的免費證書，3年有效期，不用頻繁續簽。上傳完配置域名canme解析，如果解析成功，被七牛檢測到，就可以開始使用了該域名了。

由于博客一直使用的是多說的評論框，但是多說對 https 處理的非常不好。雖然 js 支持 https，但是用戶的第三方頭像和評論的表情圖片都是引用的 http 地址，百度搜了一下解決方案基本上都是替換 js 里的鏈接為本地地址，并把原地址當參數傳入，由程序處理，或者配置反向代理，獲取原圖內容，并輸出。
參考文章：
讓多說評論框完美支持HTTPS

于是我配置了一下反代。

    location ~ "^/proxy/(.*)$" {
        resolver 8.8.8.8;
        proxy_pass http://$1;
        proxy_redirect off;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $remote_addr;
        expires 7d;
    }

但是之后發現效果并不好，覺得加載速度特別慢，不知道因為是配置有問題，還是瀏覽器并發限制導致的。

后來在 github 搜出來一個神器：https://github.com/rainwsy/duoshuo-https，作者把第三方 http 地址改為七牛CDN處理。感謝！！！

至此，部署完畢。后面還需要再研究一下http2。

博客鏈接：啟用 https 的一點記錄