摘要:接下去會(huì)讓你選擇需要添加進(jìn)該證書(shū)的子域名不帶的主域名是默認(rèn)包含的��,最后一個(gè)選擇服務(wù)器類(lèi)型���,不知道會(huì)對(duì)格式有什么影響我的是��。
emmmm...擱置了這么久��,終于把自己的網(wǎng)站搭起來(lái)了����,然后還挺想要瀏覽器上的的小綠條的�����,就開(kāi)始有上https的打算了��。
獲取證書(shū)
證書(shū)有免費(fèi)和付費(fèi)的��,廣為流傳的免費(fèi)的就有Let"s Encrypt����,國(guó)內(nèi)也有很多推出了合作的免費(fèi)證書(shū),像又拍云和七牛也有免費(fèi)的開(kāi)放申請(qǐng)�����,大都是單域名的�����。
由于我需要同時(shí)支持多個(gè)二級(jí)域名,我就在cheapsslsecurity購(gòu)買(mǎi)了 comodo 家多域名證書(shū)�。
包含不帶www的主域名和兩個(gè)子域名,23刀��,再另加一個(gè)子域名���,總共32刀�����,能接受�����,下單了��,可以使用 PayPal 支付�����,支付成功之后會(huì)讓填寫(xiě)個(gè)人信息���。
然后就可以下一步了��,(忘了截圖…只能徒手畫(huà)了)���。
大概長(zhǎng)這樣�,填寫(xiě)域名,選擇域名驗(yàn)證方式�,我一般選擇 CNAME 驗(yàn)證,去域名控制臺(tái)設(shè)置一下解析就可以通過(guò)驗(yàn)證了�����。
下面是一塊填寫(xiě).scr文件內(nèi)容的區(qū)域���,這個(gè)文件需要到服務(wù)器生成:
$ openssl req -new -newkey rsa:2048 -sha256 -nodes -out example.com.csr -keyout example.com.key -subj "/C=CN/ST=ZheJiang/L=HangZhou/O=Example Inc./OU=Web Security/CN=example.com"
# C:Country�,單位所在國(guó)家�����,為兩位數(shù)的國(guó)家縮寫(xiě)��,如:CN 就是中國(guó)
# ST:State/Province���,單位所在州或省
# L:Locality��,單位所在城市/或縣區(qū)
# O:Organization�,此網(wǎng)站的單位名稱
# OU:Organization Unit,下屬部門(mén)名稱���;也常常用于顯示其他證書(shū)相關(guān)信息��,如證書(shū)類(lèi)型���,證書(shū)產(chǎn)品名稱或身份驗(yàn)證類(lèi)型或驗(yàn)證內(nèi)容等
# CN:Common Name,網(wǎng)站的域名
運(yùn)行后會(huì)得到兩個(gè)文件���,example.com.csr和example.com.key����,把example.com.csr的內(nèi)容以完整的pem格式提交到網(wǎng)站上���。
接下去會(huì)讓你選擇需要添加進(jìn)該證書(shū)的子域名(不帶www的主域名是默認(rèn)包含的)�,最后一個(gè)選擇服務(wù)器類(lèi)型����,不知道會(huì)對(duì)格式有什么影響(我的是 nginx server)。
以上完成會(huì)有一個(gè)新的頁(yè)面���,里面會(huì)包含需要設(shè)置的 CNAME 的信息����,設(shè)置完之后就等著收到包含證書(shū)的郵件。
配置ssl證書(shū)
收到的郵件壓縮包內(nèi)包含了4個(gè)文件:
分別屬于:
根證書(shū) - AddTrustExternalCARoot.crt
中級(jí)證書(shū) - COMODORSAAddTrustCA.crt
中級(jí)證書(shū) - COMODORSADomainValidationSecureServerCA.crt
域名證書(shū) - 93485680.crt
這里有個(gè)證書(shū)鏈的概念��,可以查看這篇文章了解��,我們要做的是把這幾個(gè)證書(shū)串聯(lián)起來(lái):
$ cat 93485680.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > ssl.bundle.crt
然后把這個(gè)證書(shū)鏈和先前生成的example.com.csr���、example.com.key放到同一處管理,接下去就是配置 nginx 服務(wù)器了:
listen 443 ssl;
server_name example.com www.example.com;
# ssl config
ssl on;
ssl_certificate /etc/ssl/private/ssl.bundle.crt; # 證書(shū)鏈
ssl_certificate_key /etc/ssl/private/example.com.key; # 私鑰
# ssl_protocols 和 ssl_ciphers 可以用來(lái)限制連接只包含 SSL/TLS 的加強(qiáng)版本和算法
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # 支持的協(xié)議�,Windows XP 不支持
ssl_ciphers HIGH:!aNULL:!MD5; # 算法
這個(gè)配置完成之后重啟 nginx 就可以使用 https 形式訪問(wèn)網(wǎng)站了。
其他
強(qiáng)制https訪問(wèn)
如果網(wǎng)站需要強(qiáng)制https形式訪問(wèn)���,可以加入HSTS(HTTP Strict Transport Security)策略:
# 啟用 HSTS �,僅通過(guò) https 訪問(wèn)
add_header Strict-Transport-Security max-age=31536000;
# add_header X-Frame-Options DENY; # 如果不需要引用 iframe 則可以加上
add_header X-Content-Type-Options nosniff;
然后在另一個(gè)多帶帶的 server 配置中監(jiān)聽(tīng)同域名的80端口并重定向至 https 鏈接:
server {
listen 80;
server_name example.com www.example.com;
location / {
return 301 https://example.com$request_uri; # 要重定向的地址
}
}
完整配置
server {
listen 443 ssl;
server_name example.com www.example.com;
# ssl config
ssl on;
ssl_certificate /etc/ssl/private/ssl.bundle.crt; # 證書(shū)鏈
ssl_certificate_key /etc/ssl/private/example.com.key; # 私鑰
# 為了更安全 �,可以考慮使用迪菲-赫爾曼密鑰交換
# openssl dhparam -out /etc/ssl/private/dhparam.pem 2048
ssl_prefer_server_ciphers on; # 啟用 Forward Secrecy
ssl_dhparam /etc/ssl/private/dhparam.pem;
ssl_protocols TLSv1.2 TLSv1.1 TLSv1; # 支持的協(xié)議,Windows XP 不支持
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
keepalive_timeout 70;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
# 啟用 HSTS �����,僅通過(guò) https 訪問(wèn)
add_header Strict-Transport-Security max-age=31536000;
# add_header X-Frame-Options DENY; # 如果不需要引用 iframe 則可以加上
add_header X-Content-Type-Options nosniff;
location / {
# root /usr/share/nginx/html;
# index index.html index.htm;
index index;
# proxy_pass http://127.0.0.1:7001;
proxy_pass http://127.0.0.1:7001/blog/index;
}
}
emmmm...親身實(shí)踐了一次���,總體來(lái)說(shuō)還是挺簡(jiǎn)單的�,但是其中某些配置項(xiàng)暫不甚了解,同志仍需努力�。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/39735.html
