【轉載】如何免費的讓網站啟用HTTPS
原文網址:https://coolshell.cn/articles/18094.html
今天,我把CoolShell變成https的安全訪問了。我承認這件事有點晚了,因為之前的HTTP的問題也有網友告訴我,被國內的電信運營商在訪問我的網站時加入了一些彈窗廣告。另外,HTTP的網站在搜索引擎中的rank會更低。所以,這事早就應該幹了。現在用HTTP訪問CoolShell會被得到一個 301 的HTTPS的跳轉。下面我分享一下啟用HTTPS的過程。
我用的是 Let’s Encrypt這個免費的解決方案。Let’s Encrypt 是一個於2015年推出的數字證書認證機構,將通過旨在消除當前手動創建和安裝證書的復雜過程的自動化流程,為安全網站提供免費的SSL/TLS證書。這是由互聯網安全研究小組(ISRG – Internet Security Research Group,一個公益組織)提供的服務。主要贊助商包括電子前哨基金會,Mozilla基金會,Akamai以及Cisco等公司(贊助商列表)。
2015年6月,Let’s Encrypt得到了一個存儲在硬件安全模塊中的離線的RSA根證書。這個由IdenTrust證書簽發機構交叉簽名的根證書被用於簽署兩個證書。其中一個就是用於簽發請求的證書,另一個則是保存在本地的證書,這個證書用於在上一個證書出問題時作備份證書之用。因為IdenTrust的CA根證書目前已被預置於主流瀏覽器中,所以Let’s Encrypt簽發的證書可以從項目開始就被識別並接受,甚至當用戶的瀏覽器中沒有信任ISRG的根證書時也可以。
以上介紹文字來自 Wikipedia 的 Let’s Encrypt 詞條。
為你的網站來安裝一個證書十分簡單,只需要使用電子子前哨基金會EFF的 Certbot,就可以完成。
1)首先,打開 https://certbot.eff.org 網頁。
2)在那個機器上圖標下面,你需要選擇一下你用的 Web 接入軟件 和你的 操作系統。比如,我選的,nginx
和 Ubuntu 14.04
3)然後就會跳轉到一個安裝教程網頁。你就照著做一遍就好了。
以Coolshell.cn為例 – Nginx + Ubuntu
首先先安裝相應的環境:
1 2 3 4 5 |
$ sudo apt-get update
$ sudo apt-get install software-properties-common
$ sudo add-apt-repository ppa:certbot /certbot
$ sudo apt-get update
$ sudo apt-get install python-certbot-nginx
|
然後,運行如下命令:
1 |
$ sudo certbot --nginx
|
certbot
會自動檢查到你的 nginx.conf
下的配置,把你所有的虛擬站點都列出來,然後讓你選擇需要開啟 https 的站點。你就簡單的輸入列表編號(用空格分開),然後,certbot 就幫你下載證書並更新 nginx.conf
了。
你打開你的 nginx.conf
文件 ,你可以發現你的文件中的 server
配置中可能被做了如下的修改:
1 2 3 4 |
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/coolshell .cn /fullchain .pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/coolshell .cn /privkey .pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx .conf; # managed by Certbot
|
和
1 2 3 4 |
# Redirect non-https traffic to https
if ($scheme != "https" ) {
return 301 https: // $host$request_uri;
} # managed by Certbot
|
這裏建議配置 http2,這要求 Nginx 版本要大於 1.9.5。HTTP2 具有更快的 HTTPS 傳輸性能,非常值得開啟(關於性能你可以看一下這篇文章)。需要開啟HTTP/2其實很簡單,只需要在 nginx.conf
的 listen 443 ssl;
後面加上 http2
就好了。如下所示:
1 2 3 4 |
listen 443 ssl http2; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/coolshell .cn /fullchain .pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/coolshell .cn /privkey .pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx .conf; # managed by Certbot
|
然後,就 nginx -s reload
就好了。
但是,Let’s Encrypt 的證書90天就過期了,所以,你還要設置上自動化的更新腳本,最容易的莫過於使用 crontab
了。使用 crontab -e
命令加入如下的定時作業(每個月都強制更新一下):
1 2 |
0 0 1 * * /usr/bin/certbot renew --force-renewal
5 0 1 * * /usr/sbin/service nginx restart
|
當然,你也可以每天淩晨1點檢查一下:
1 |
0 1 * * * certbot renew
|
註:crontab 中有六個字段,其含義如下:
- 第1個字段:分鐘 (0-59)
- 第2個字段:小時 (0-23)
- 第3個字段:日期 (1-31)
- 第4個字段:月份 (1-12 [12 代表 December])
- 第5個字段:一周當中的某天 (0-7 [7 或 0 代表星期天])
- /path/to/command – 計劃執行的腳本或命令的名稱
這麽方便的同時,我不禁要問,如果是一些惡意的釣魚網站也讓自己的站點變成https的,這個對於一般用來說就有點難以防範了。哎……
當然,在nginx或apache上啟用HTTPS後,還沒有結束。因為你可能還需要修改一下你的網站,不然你的網站在瀏覽時會出現各種問題。
啟用HTTPS後,你的網頁中的所有的使用 http://
的方式的地方都要改成 https://
不然你的圖片,js, css等非https的連接都會導致瀏覽器抱怨不安全而被block掉。所以,你還需要修改你的網頁中那些 hard code http://
的地方。
對於我這個使用wordpress的博客系統來說,有這麽幾個部分需要做修改。
1)首先是 wordpress的 常規設置中的 “WordPress 地址” 和 “站點地址” 需要變更為 https 的方式。
2)然後是文章內的圖片等資源的鏈接需要變更為 https 的方式。對此,你可以使用一個叫 “Search Regex” 插件來批量更新你歷史文章裏的圖片或別的資源的鏈接。比如:把 http://coolshell.cn
替換成了 https://coolshell.cn
3)如果你像我一樣啟用了文章緩存(我用的是WP-SuperCache插件),你還要去設置一下 “CDN” 頁面中的 “Site URL” 和 “off-site URL” 確保生成出來的靜態網頁內是用https做資源鏈接的。
基本上就是這些事。希望大家都來把自己的網站更新成 https 的。
嗯,12306,你什麽時候按照這個教程做一下你的證書?
【轉載】如何免費的讓網站啟用HTTPS