企業(yè)建站知識推廣知識小程序微信營銷 APP開發(fā) 前端設(shè)計(jì) MindManager 開發(fā)語言自媒體

11、使用和配置更安全的https協(xié)議

發(fā)表日期：2017-09 文章編輯：小燈瀏覽次數(shù)：2612

一、選購和申請ssl證書的一些建議

谷歌從2017年開始chrome瀏覽器會把采用http協(xié)議的網(wǎng)站標(biāo)記為不安全的網(wǎng)站，蘋果也是從2017年開始規(guī)定所有的應(yīng)用都必須采用https的加密連接。在國內(nèi)，熱火朝天的微信小程序也規(guī)定必須使用https協(xié)議的接入域名。特別是蘋果商店的變化會影響到很多很多的開發(fā)者，現(xiàn)在默認(rèn)的配置都是采用https協(xié)議連接的。從安全層面看的話https協(xié)議顯然是比http協(xié)議有很多的優(yōu)勢。我們也應(yīng)該緊跟潮流的趨勢，在app中采用證書的驗(yàn)證，通過啟用https協(xié)議來保護(hù)所訪問到的資源。如果說我們自己的站點(diǎn)沒有使用https協(xié)議的話，在大陸的場景下，容易被電信聯(lián)通劫持，注入惡意的話費(fèi)充值廣告，所以最好還是讓我們的網(wǎng)站強(qiáng)制使用https協(xié)議，起碼可以避免isp的劫持。
關(guān)于ssl的原理就不多介紹了，接下來就介紹一下如何申請一個ssl證書。
常見的ssl證書類型有：dv、ov、ev，其安全等級為：ev>ov>dv。
常用的ssl廠商有：
1、Symantec
2、GeoTrust
3、trustasiahttps://www.trustasia.com/

二、云平臺申請免費(fèi)證書及Nginx配置

可以申請免費(fèi)ssl證書的平臺有很多，我們主要推薦的有騰訊云https://www.qcloud.com/、又拍云https://www.upyun.com、七牛https://www.qiniu.com、阿里云。這四個平臺對應(yīng)著其背后的四個廠商，我們主要考慮廠商的實(shí)力和做產(chǎn)品的持續(xù)度。
我們以騰訊云為例介紹一下如何申請ssl證書
1、登錄騰訊云點(diǎn)擊控制臺：

2、在控制臺中點(diǎn)擊“云產(chǎn)品”下的“ssl證書管理”

3、進(jìn)入“證書列表”頁面后，點(diǎn)擊“申請證書”

4、如果沒有實(shí)名認(rèn)證的話會要求先進(jìn)行實(shí)名認(rèn)證

5、實(shí)名認(rèn)證通過后再進(jìn)入“證書列表頁”中點(diǎn)擊“申請證書”，選擇“亞洲誠信”的免費(fèi)版dv證書，點(diǎn)確定。

6、證書申請頁面填入相應(yīng)信息，點(diǎn)擊下一步

7、在下一步中選擇“手動dns驗(yàn)證”，點(diǎn)擊“確認(rèn)申請”

8、在dnspod中更改主機(jī)記錄和記錄值為騰訊云提供的值

更改前

更改后

此時證書列表中該證書狀態(tài)為“已頒發(fā)”。

9、我們把證書下載下來，解壓縮一下，其中包括了Apache、IIS、Nginx、Tomcat四種服務(wù)器所對應(yīng)的key，這個key我們要上傳到服務(wù)器上去。

10、把下載下來的證書上傳到服務(wù)器上：

我們在服務(wù)器上可以看到，這兩個文件已經(jīng)上傳成功

我們把ssl文件放在/www/目錄下：

11、nginx證書部署
我們可以參考nginx證書安裝指引文檔：https://www.qcloud.com/document/product/400/4143#2.-nginx-.E8.AF.81.E4.B9.A6.E9.83.A8.E7.BD.B2。
我們復(fù)制選中的部分：

在服務(wù)器中更改nginx配置文件/etc/nginx/conf.d/blog-com-8082.conf為：

upstream blog { server 127.0.0.1:8082; }server { listen 80; server_name blog.xiaoxiekeke.com; #rewrite ^(.*) https://$host$1 permanent; return 301 https://blog.xiaoxiekeke.com$request_uri; #如果是http協(xié)議的話重定向到https地址 } server {listen 443;#ssl證書訪問的端口號 server_name blog.xiaoxiekeke.com; #填寫綁定證書的域名 ssl on; ssl_certificate /www/ssl/1_blog.xiaoxiekeke.com_bundle.crt; ssl_certificate_key /www/ssl/2_blog.xiaoxiekeke.com.key; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照這個協(xié)議配置 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照這個套件配置 ssl_prefer_server_ciphers on;if ($ssl_protocol = "") { rewrite ^(.*) https://$host$1 permanent; } location / { proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forward-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_set_header X-Nginx-Proxy true; proxy_pass http://blog; proxy_redirect off; } } ~

配置好后sudo nginx -t檢查一下

重啟nginx服務(wù)：

12、測試效果：
此時我們測試一下在瀏覽器中輸入：http://blog.xiaoxiekeke.com/posts 會直接訪問到https://blog.xiaoxiekeke.com/posts 安全域名下：

總結(jié)

經(jīng)過了將近一個月的學(xué)習(xí)和摸索，慕課網(wǎng)scott老師的實(shí)戰(zhàn)課程“全棧最后一公里”終于跟著學(xué)完了。這套課程真是滿滿的干貨，學(xué)到了很多知識，物超所值。有興趣的同學(xué)也可以購買下來學(xué)習(xí)，相信曾經(jīng)付出的學(xué)習(xí)成本，總有一天時間會數(shù)百倍的回報(bào)給你。

在scott老師的指導(dǎo)下，我終于通過自己的努力把成功的把項(xiàng)目部署上線了，也了解了很多服務(wù)器安全配置相關(guān)的知識，算是剛?cè)肓巳珬５拈T，感覺自己距離真正的全棧還有好遠(yuǎn)的距離。不過沒關(guān)系，只要堅(jiān)持下來，持續(xù)不斷的學(xué)習(xí)，就會不斷的進(jìn)步，總有一天會心如所愿，成長成為一名真正合格的全棧工程師，我期待著這一天的到來。

在學(xué)習(xí)的過程中如果遇到任何問題都可以來中問我，如果有什么心得體會也可以來和我交流，我期待著在學(xué)習(xí)的過程中跟大家共勉！

本頁內(nèi)容由塔燈網(wǎng)絡(luò)科技有限公司通過網(wǎng)絡(luò)收集編輯所得，所有資料僅供用戶學(xué)習(xí)參考，本站不擁有所有權(quán)，如您認(rèn)為本網(wǎng)頁中由涉嫌抄襲的內(nèi)容，請及時與我們聯(lián)系，并提供相關(guān)證據(jù)，工作人員會在5工作日內(nèi)聯(lián)系您，一經(jīng)查實(shí)，本站立刻刪除侵權(quán)內(nèi)容。本文鏈接:http://jstctz.cn/20417.html

上一篇：<《圖解HTTP》讀書筆記（三）下一篇：spring boot支持https請求>