迈向HTTPS(一)快速让你的网站支持HTTPS
公司网站项目最近在实施 HTTPS,所以学习了相关知识,据统计全球顶尖的 1000 个网站 10% 都部署了 HTTPS,假如有可能就不要再去分析部署 HTTPS 的意义了,HTTPS 是大趋势。
对于技术人员来说,HTTPS 的知识面非常多,包括密码学知识、HTTP 协议知识、OpenSSL、WEB 服务器、浏览器等相关的知识。可以说是一个庞大的体系,假如你没有时间去学习太多知识,构建一个 HTTPS 也不是太困难的事情,后续会写一些入门类的文章,但是假如要深入理解,可能这些文章并不适合你。
考虑到 HTTPS 相关的知识一直在变化,在学习过程中,一定要注意环境版本(比如 WEB 服务器版本,TLS 协议版本等等),否则很多文章会让你困惑。另外假如是个新手,尽量不要去学习其他“过时”的知识了,比如要学习 HTTP/2 ,那就不要去了解 SPDY 协议了。
这篇文章主要让你快速搭建一个支持 HTTPS 的网站,WEB 服务器用的是 Nginx。
构建自定义证书
部署一个 HTTPS 网站最重要的需要两个“资源”,分别是密钥对和证书。为了加密通信双方的数据需要使用密钥对进行加密和解密,为了让用户信任网站拥有者的公钥,则需要通过证书对公钥进行认证。
所以在配置 HTTPS 的时候要生成密钥对和证书,密钥对和证书可以由证书机构统一生成。网站拥有者也可以自己生成密钥对,然后由证书机构签名即可。
可以通过 OpenSSL 命令行生成密钥对和证书,假如证书是自己通过 OpenSSL 生成的,那么这个 HTTPS 网站也是能加密的,但是这个证书由于是自己签发的,所以浏览器不一定信任。为了能够快速搭建出一个 HTTPS 网站,建议可以自生成证书来实践,非常简单。
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/nginx/ssl/nginx.key -out /etc/nginx/ssl/nginx.crt
运行这个命令后,会有一些交互式的提示信息,主要就是询问对那个域名生成证书。最后就能生成密钥对和证书了。
req 表示想使用 X.509 certificate signing request (CSR) 进行管理 ,-x509 表示使用自签名证书代替在线 CSR 请求。
然后在 Nginx.conf 中简单配置下就能支持 HTTPS 访问了。
server {
listen 80 default_server;
listen 443 ssl;
server_name rss.newyingyong.cn;
ssl_certificate /etc/nginx/ssl/nginx.crt;
ssl_certificate_key /etc/nginx/ssl/nginx.key;
}
使用免费的 Let's Encrypt 证书
Let's Encrypt 能够免费签名一个证书,所以假如要求不高,可以使用它签名的证书,使用也非常的简单,只要验证邮箱地址就能使用了,不过有 90 天的有效期(到期前可以续)。
为了生成证书,Let's Encrypt 提供了一个软件 Certbot 来进行管理,这个软件有很多插件,可以生成证书并自动化配置 Nginx/Apache ,不过我还是选择使用它生成密钥对和证书,然后自己在 WEB 服务器上进行配置,使用很简单。
git clone https://github.com/certbot/certbot
cd certbot
./certbot-auto certonly --webroot -w /usr/nginx/web -d rss.newyingyong.cn
-w 表示你的代码根目录,-d 表示要对那个域名生成证书,--webroot 表示插件,运行结束后,会生成四个文件,最重要的两个文件是 fullchain.pem(证书链)和 privkey.pem(私钥)。
然后在 Nginx 中配置即可
server {
listen 80 default_server;
listen 443 ssl;
server_name rss.newyingyong.cn;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
}
非常简单把,假如你没有太多的 HTTPS 知识 ,又想快速搭建基于 HTTPS 的网站 ,那么这篇文章应该适合你,可以看看我刚启用的 HTTPS 网站
