摘要:使用定時證書因為是免費證書,所以有一個有效期是天,到期之后需要一下。工具測試評級測試評級出品的配置生成器
0x01: 背景
博客經常不更新,服務器還時不時掛掉一次,導致 PageRank 基本是負的了,不過技術上要跟的上更新啊! 微信小程序接口必須是 https, 這次就當是練手了。
0x02: 整體思路流程確保自己的域名解析全部是 A 記錄
使用 Let"s Encrypt 證書, Certbot 安裝證書
使用 Crontab 自動 Renew 證書
配置 Nginx ,SSL Server
將 HTTP 跳轉到 HTTPS , 將 WWW 跳轉到 NON-WWW
用檢測工具檢測一下自己 HTTPS 的評級
0x03: 檢查自己的域名解析是否是A記錄剛開始使用 Certbot 安裝證書的時候,老是報錯,經過搜索發現,原來自己的域名有 CNAME 解析的。 所以在安裝證書錢,請確保自己的域名都是A記錄解析
0x04: 使用免費的 Let"s Encrypt 證書關于免費的證書,這里有其他選項可供選擇:
阿里云免費的 : Symantec 證書
Let"s Encrypt :免費證書
一站式解決方案: cloudflare
根據 Lets" Encrypt 官網說明,我們使用推薦的 Certbot 安裝我們的證書。 當然你也可以選擇 acme-tiny 來安裝證書。
我的服務器環境是 CentOS 7 和 Nginx/1.10.1, 這里強烈推薦大家將Nginx 升級到最新的版本,新版本在SSL配置上比較省事。
//安裝Certbot sudo yum install certbot //安裝命令很簡單, -w 后面跟網站根目錄, -d 就是你要添加證書的域名,如果有多個域名,多個-d就可以了 certbot certonly --webroot -w /var/www/example -d example.com -d www.example.com
如果順利,他會提示出安裝成功,證書會保存在 /etc/letsencrypt/live/example.com/ 里面。
0x05: 使用 Crontab 定時Renew 證書因為是免費證書, 所以有一個有效期是90天,到期之后需要 Renew 一下。 官方推薦是每天檢查用任務 Renew 兩次,因為如果證書沒過期,他就只是檢測一下,并不會做其他操作。這里我們設置的定時任務是每天檢查一次。
$ crontab -e 10 6 * * * certbot renew --quiet //列出任務看看是否添加成功 $ crontab -l0x06: 配置NGINX, SSL Server
節約生命,請使用神器: Mozilla出品的 SSL配置生成器
使用生成器需要填寫 nginx 和 openssl 版本, 用下面命令進行查看
//查看nginx版本 nginx -v //查看openssl 版本 yum info openssl //如果需要更新openssl yum update openssl
下面就是我生成的配置(nginx: 1.10.1, openssl: 1.0.1e)
server { server_name example.com wwww.example.com; # Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response. return 301 https://example.com$request_uri; } server { listen 443 ssl http2; listen [::]:443 ssl http2; # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; # Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits ssl_dhparam /etc/letsencrypt/live/example.com/dhparam.pem; # intermediate configuration. tweak to your needs. ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS"; ssl_prefer_server_ciphers on; # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months) add_header Strict-Transport-Security max-age=15768000; # OCSP Stapling --- # fetch OCSP records from URL in ssl_certificate and cache them ssl_stapling on; ssl_stapling_verify on; ## verify chain of trust of OCSP response using Root CA and Intermediate certs #ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates; #resolver; server_name example.com; index index.html; root /home/wwwroot/example.com; location ~ .*.(ico|gif|jpg|jpeg|png|bmp|swf)$ { access_log off; expires 1d; } location ~ .*.(js|css|txt|xml)?$ { access_log off; expires 12h; } location / { try_files $uri $uri/ =404; } access_log /home/wwwlogs/example.com.log access; }
上面配置的第一個 Server 將所有的 http 請求跳轉到 https 請求上。 其中 ssl_dhparam 這個參數的 .pem 用下面命令生成:
openssl dhparam -out /etc/letsencrypt/live/example.com/dhparam.pem 2048
現在加上https看一下效果吧!
0x07: 將WWW跳轉到NON-WWW為了SEO,網站使用 WWW 前綴,或者全部不使用 WWW,要實現的效果就是將下面三種情況,
統統跳轉到 https://example.com
http://example.com http://www.example.com https://www.example.com
0x06中的配置,第一個 server 已經將處理好錢兩種情況, 現在來處理第三種情況。
這個配置主要需要注意的是,這里也要加上所有的 ssl 配置參數。
server { listen 443 ssl http2; listen [::]:443 ssl http2; # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; # Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits ssl_dhparam /etc/letsencrypt/live/example.com/dhparam.pem; # intermediate configuration. tweak to your needs. ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS"; ssl_prefer_server_ciphers on; # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months) add_header Strict-Transport-Security max-age=15768000; # OCSP Stapling --- # fetch OCSP records from URL in ssl_certificate and cache them ssl_stapling on; ssl_stapling_verify on; ## verify chain of trust of OCSP response using Root CA and Intermediate certs #ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates; server_name www.example.com; return 301 https://example.com$request_uri; }0x08: 工具
ssllabs 測試評級
securityheaders 測試評級
Mozilla出品的 SSL配置生成器
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/39419.html
摘要:不僅可以實現負載均衡,還可以實現反向代理轉發,非常適合我們的使用場景,因此我們米撲科技采用利用代理轉發請求實例。米撲博客原文利用代理轉發請求實例利用代理轉發請求實例作為目前最流行的服務器之一,可以很方便地實現反向代理。 我們米撲科技的業務遍布全球,有時國外的客戶無法訪問我們搭建在國內的服務,這就要求我們在國外服務器上搭建一個代理轉發服務,用戶請求國外服務器的域名,然后代理轉發到國內,處...
摘要:不僅可以實現負載均衡,還可以實現反向代理轉發,非常適合我們的使用場景,因此我們米撲科技采用利用代理轉發請求實例。米撲博客原文利用代理轉發請求實例利用代理轉發請求實例作為目前最流行的服務器之一,可以很方便地實現反向代理。 我們米撲科技的業務遍布全球,有時國外的客戶無法訪問我們搭建在國內的服務,這就要求我們在國外服務器上搭建一個代理轉發服務,用戶請求國外服務器的域名,然后代理轉發到國內,處...
閱讀 2925·2023-04-26 02:22
閱讀 2286·2021-11-17 09:33
閱讀 3127·2021-09-22 16:06
閱讀 1062·2021-09-22 15:54
閱讀 3530·2019-08-29 13:44
閱讀 1905·2019-08-29 12:37
閱讀 1316·2019-08-26 14:04
閱讀 1905·2019-08-26 11:57