Django 开启HTTPS时代——安装证书、启用HTTPS

近期做了一个网站，使用的django。django自带一个后台，用来管理数据还是挺方便的。但是登录的时候发现，用户名和密码是明文传输的。而且这个站点已经上线，感觉很危险的样子。怎么办是好呢，用HTTPS吧。

购买证书

使用HTTPS需要用SSL证书，其实有免费的可以用，比如阿里云提供的。在阿里云的控制台 云盾（安全）下的证书服务中可以申请免费证书。

图1 证书服务

点击进入证书服务，然后点击购买证书。

图2 购买证书

注意，选择的时候先选择保护类型为1个域名。然后选择品牌为Symantec。才会出现免费的证书选项。刚开始以为免费证书没了，后来胡乱点了一下发现的。这个逻辑有点坑。

图3 选择证书

选择好了，点击立即购买，随后填上信息，等待审核通过就行了。审核很快，大概几分钟吧。

Apache2 安装证书

下载证书

购买好之后，可以在控制台看见证书了。点击下载，后根据服务器类型选择下载证书。我用的是Apache，于是就下载Apache选项下的证书。

图4 证书
图5 选择证书下载

安装证书

很坑的一点，图5的证书安装说明，我用不了。因为使用时系统是debian，安装的Apache2，就没有http.conf等文件。于是在网上找了资料折腾了一段时间才弄好，感觉还是记录一下比较好。

1. 上传证书
   将下载的证书上传至服务器，什么位置都可以（但还是不要放在很冷门的地方）。待会配置文件里面会用到，到时候是什么路径就写什么路径可以了。

2. 加载 Apache ssl 模块

   a2enmod  ssl
   

   提示说要重启apache服务，亲测reload就可以。在docker里面， 还 真不想重启！

   service apache2 reload 
   

3. 新增配置文件
   之前安装网上说的根据/etc/apache2/sites-available/default-ssl.conf文件进行修改。我试了几次，不知为何就是不能用。可能是什么地方我忽略点了吧！但是我发现一更简单的配置方法。如果之前配置好了http(80)的配置文件，只需要复制过来，改一个端口号，再加上几行可以了。

   以下是我的http的配置文件

   <VirtualHost *:80>
       ServerName www.domian.com
       ServerAlias domian.com
       ServerAdmin email@163.com
   
       Alias /media/ /var/www/html/mysite/media/
       Alias /static/ /var/www/html/mysite/static/
     
       <Directory /var/www/html/mysite/media>
           Require all granted
       </Directory>
     
       <Directory /var/www/html/mysite/static>
           Require all granted
       </Directory>
     
       WSGIScriptAlias / /var/www/html/mysite/mysite/wsgi.py
       
       <Directory /var/www/html/mysite/mysite>
       <Files wsgi.py>
           Require all granted
       </Files>
       </Directory>
   </VirtualHost>
   

   复制配置文件，https对应的配置文件我命名为default-ssl.conf

   root@8cd8c27fe57b:/etc/apache2/sites-available# cp mysite.cong  default-ssl.conf
   

   打开default-ssl.conf，将80修改为443

   <VirtualHost *:80>
   # 改为
   <VirtualHost *:443>
   

   然后添加以下三行。

   SSLCertificateFile /etc/apache2/sites-available/cert/214549759710221.pem
   SSLCertificateKeyFile /etc/apache2/sites-available/cert/214549759710221.key
   SSLCertificateChainFile /etc/apache2/sites-available/cert/chain.pem
   

   这样站点的配置文件就准备好了。

4. 启用站点
   使用刚才新增的配置文件，启用443端口的站点。

   a2ensite default-ssl
   service apache2 reload 
   

5. 测试
   使用浏览器访问https://www.domain.com,看是否能正常访问。同是可以看到一个绿色的锁。很奇怪我的主页有这把绿色的锁，但是其他的页面没有，显示感叹号。使用firefox发现是图片还是用的http传输的，修改为https后，绿色的小锁出现了。这样证书就安装好了。
   

   Not secure

80 重定向到443

访问http时自动跳转到https。

1. 启用模块

   a2enmod  rewrite
   

2. 在80端口的配置文件中添加一下配置

   RewriteEngine on
   RewriteCond   %{HTTPS} !=on
   RewriteRule   ^(.*)  https://%{SERVER_NAME}$1 [L,R]
   

3. 重新加载apache配置

   service apache2 reload 
   

4. 测试
   现在80端口重定向到了443.

参考

Apache2.4安装SSL证书教程(基于ubuntu 16.04)