国产亚洲欧美人成在线,免费视频爱爱太爽了无码,日本免费一区二区三区高清视频 ,国产真实伦对白精彩视频

歡迎您光臨深圳塔燈網(wǎng)絡(luò)科技有限公司!
電話圖標(biāo) 余先生:13699882642

網(wǎng)站百科

為您解碼網(wǎng)站建設(shè)的點(diǎn)點(diǎn)滴滴

博客的遷移及自動(dòng)化部署并全站https化

發(fā)表日期:2017-02 文章編輯:小燈 瀏覽次數(shù):2452

過完年來想把博客做一個(gè)遷移,放到自己購買的服務(wù)器上,并實(shí)現(xiàn)?自動(dòng)化部署,并啟用全站HTTPS

hexo本地部署

這一步驟網(wǎng)上有很多教程,這里不再多說了

服務(wù)器自動(dòng)化部署

大體的流程就是,我們通過hexo g命令在本地生成靜態(tài)文件以后,通過git push到我們的遠(yuǎn)程倉庫(這里我用的是GitHub),然后由于我們事先在項(xiàng)目庫中配置了webhooks,由它post到你的服務(wù)器一個(gè)請求鏈接,我們的服務(wù)器收到請求后,對應(yīng)執(zhí)行我們提前寫好的腳本,再將push的內(nèi)容同步到我們的服務(wù)器,從而更新了服務(wù)器的內(nèi)容。

服務(wù)器環(huán)境配置

我們通過ssh(windows用戶可以通過putty登錄)登錄到我們的服務(wù),我這里用的是Ubuntu系統(tǒng),安裝好nodejs,git,nginx后,將我們的文件從遠(yuǎn)程倉庫拉下來

mkdir blog cd blog git init git remote add origin https://github.com/yuxingxin/yuxingxin.github.io.git git pull origin master
  1. 配置nginx
    這個(gè)配置之前寫的有相關(guān)文章,不明白得可以看這里,不過這里的系統(tǒng)是Ubuntu,所以nginx的安裝路徑也不太一樣(/etc/nginx)
    默認(rèn)我們需要在/etc/nginx/conf.d/目錄下添加配置文件blog.conf
    注意這里的后綴名一定是.conf 
vim /etc/nginx/conf.d/blog.conf

然后配置上我們的域名,端口和映射地址

server { listen 80;#修改這里為其他端口如8081 server_nameyuxingxin.com www.yuxingxin.com; # 這里是你的域名 location / { root /root/blog/; #修改這里的路徑為自己的路徑 indexindex.html index.htm; } }

然后重啟nginx通過域名就可以訪問我們的博客了

nginx -s reload
  1. webhooks配置
    也就是人們常說的鉤子,是一個(gè)很有用的工具。你可以通過定制 Webhook 來監(jiān)測你在 Github.com 上的各種事件,最常見的莫過于 push 事件,如果你設(shè)置了一個(gè)監(jiān)測 push 事件的 Webhook,那么每當(dāng)你的這個(gè)項(xiàng)目有了任何提交,這個(gè) Webhook 都會被觸發(fā),這時(shí) Github 就會發(fā)送一個(gè) HTTP POST 請求到你配置好的地址。如此一來,你就可以通過這種方式去自動(dòng)完成一些重復(fù)性工作;比如,你可以用 Webhook 來自動(dòng)觸發(fā)一些持續(xù)集成(CI)工具的運(yùn)作,比如 Travis CI;又或者是通過 Webhook 去部署你的線上服務(wù)器。
    Webhook 的配置是十分簡單的。首先進(jìn)入你的 repo 主頁,通過點(diǎn)擊頁面上的按鈕 [settings] -> [Webhooks & service] 進(jìn)入 Webhooks 配置主頁面。在Payload URL配置鏈接,比如:
http://xxxxx.com:8246/webhooks/push/deploy

這樣一來,倉庫的配置就算好了,接下來看服務(wù)器端如何響應(yīng)

  1. 服務(wù)器配置webhooks響應(yīng)
    首先我們在我們的博客目錄下創(chuàng)建一個(gè)js文件,用來啟動(dòng)我們的監(jiān)聽服務(wù),端口就是我們在倉庫配置那里的端口地址:8246
var http = require('http') var exec = require('child_process').exec http.createServer(function (req, res) { if(req.url === '/webhooks/push/deploy'){ exec('sh ./deploy.sh',function(error,stdout,stderr){if(error){ console.log(error.stack); console.log('Error code:'+ error.code);}else{ console.log('success');} }) } res.end() }).listen(8246)

這段代碼就能啟動(dòng)一個(gè)nodejs服務(wù),監(jiān)聽8246端口。
當(dāng)請求過來的url完全匹配的時(shí)候,執(zhí)行deploy.sh。
再新建一個(gè)deploy.sh文件處理部署相關(guān)腳本

git pull origin master
  1. 運(yùn)行nodejs服務(wù)
node ./webhooks.js

如果你使用上面的命令運(yùn)行nodejs服務(wù),nodejs服務(wù)會在前臺運(yùn)行,可以使用pm2使nodejs運(yùn)行在后臺。
安裝
npm install pm2 -g
啟動(dòng)服務(wù)
pm2 start webhooks.js
停止服務(wù)
pm2 stop webhooks.js
重啟服務(wù)
pm2 restart webhooks.js
另外我們也可以實(shí)時(shí)查看pm2的日志服務(wù)
pm2 logs

到此為止我們的自動(dòng)化部署就全部完成了,以后我們只需在本地將文件push到遠(yuǎn)程倉庫,就會自動(dòng)同步到我們的服務(wù)器上

啟用全站HTTPS

這里簡單總結(jié)下在 Nginx 配置 HTTPS 服務(wù)器:主要簽署第三方可信任的證書和配置HTTPS

關(guān)于證書

SSL證書需要向國際公認(rèn)的證書證書認(rèn)證機(jī)構(gòu)(簡稱CA,Certificate Authority)申請。
CA機(jī)構(gòu)頒發(fā)的證書有3種類型:

  • 域名型SSL證書(DV SSL):信任等級普通,只需驗(yàn)證網(wǎng)站的真實(shí)性便可頒發(fā)證書保護(hù)網(wǎng)站;
  • 企業(yè)型SSL證書(OV SSL):信任等級強(qiáng),須要驗(yàn)證企業(yè)的身份,審核嚴(yán)格,安全性更高;
  • 增強(qiáng)型SSL證書(EV SSL):信任等級最高,一般用于銀行證券等金融機(jī)構(gòu),審核嚴(yán)格,安全性最高,同時(shí)可以激活綠色網(wǎng)址欄。

關(guān)于證書服務(wù),市面上大體的都是收費(fèi)的證書,當(dāng)然也有部分是免費(fèi)的,比如Let's Encrypt剛剛又拍云也上線了免費(fèi)的 SSL 證書,另外StartSSL也提供免費(fèi)證書,有效期3年;另外還有騰訊云和阿里云都有相關(guān)的免費(fèi)證書,這里我使用的是Let's Encrypt ,這也是目前最知名的開源SSL證書。

證書申請

申請 Let's Encrypt 證書不但免費(fèi),還非常簡單,雖然每次只有 90 天的有效期,但可以通過腳本定期更新,配好之后一勞永逸。Let's Encrypt 的證書簽發(fā)過程使用的就是 ACME 協(xié)議,這里也推薦一個(gè)小工具就是acme-tiny,它可以幫助我們簡化創(chuàng)建證書的流程。

  1. 創(chuàng)建帳號
    創(chuàng)建一個(gè)目錄存放私鑰證書等各種文件,然后進(jìn)入后創(chuàng)建我們的RSA賬戶私鑰
mkdir ssl cd ssl openssl genrsa 4096 > account.key
  1. 創(chuàng)建 CSR 文件
    這一步生成我們的證書簽名文件,即CSR,首先要?jiǎng)?chuàng)建RSA私鑰
openssl genrsa 4096 > domain.key

接下來就可以生成我們的證書文件了,單個(gè)域名和多個(gè)域名生產(chǎn)的參數(shù)還不太一樣.

//單個(gè)域名 openssl req -new -sha256 -key domain.key -subj "/CN=yuxingxin.com" > domain.csr //多個(gè)域名(比如yuxingxin.com和www.yuxingxin.com) openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yuxingxin.com,DNS:www.yuxingxin.com")) > domain.csr
  1. 配置驗(yàn)證服務(wù)
    CA 在簽發(fā) DV(Domain Validation)證書時(shí),需要驗(yàn)證域名所有權(quán),而大部分都是通過郵件驗(yàn)證的方式,Let's Encrypt 則是在你的服務(wù)器上生成一個(gè)隨機(jī)驗(yàn)證文件,再通過創(chuàng)建 CSR 時(shí)指定的域名訪問,如果可以訪問則表明你對這個(gè)域名有控制權(quán)。
    首先創(chuàng)建用于存放驗(yàn)證文件的目錄
mkdir ~/www/challenges/

然后配置一個(gè) HTTP 服務(wù),以 Nginx 為例:

server { listen 80; # 這里改成自己的域名 server_name yuxingxin.com www.yuxingxin.com; location /.well-known/acme-challenge/ { alias /root/www/challenges/; try_files $uri =404; } }
  1. 生成網(wǎng)站證書
    先把a(bǔ)cme-tiny腳本保存到之前的ssl目錄
wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py

指定賬戶私鑰、CSR 以及驗(yàn)證目錄,在ssl目錄下執(zhí)行腳本

python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /root/www/challenges/ > ./signed.crt

如果一切正常,當(dāng)前目錄ssl下就會生成一個(gè) signed.crt,這就是申請好的證書文件。
這里遇到一個(gè)錯(cuò)誤,大致如下:

ValueError: Wrote file to /root/www/challenges/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg, but couldn't download http://www.yuxingxin.com/.well-known/acme-challenge/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg

網(wǎng)上查了一些方案,覺得有一個(gè)比較靠譜,也得到了解決,大致就是原來庫做了一個(gè)驗(yàn)證導(dǎo)致有些情況通不過,這里有人fork源庫修改了部分代碼,地址在這里,如果出現(xiàn)上述錯(cuò)誤,可以獲取這個(gè)庫的腳步然后在執(zhí)行上面那條命令。

  1. 下載中間證書
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem cat signed.crt intermediate.pem > chained.pem
  1. 為了后續(xù)能順利啟用 OCSP Stapling,我們再把根證書和中間證書合在一起:
wget -O - https://letsencrypt.org/certs/isrgrootx1.pem > root.pem cat intermediate.pem root.pem > full_chained.pem
  1. 修改nginx證書配置
server { listen 443; #修改成自己的域名 server_name yuxingxin.com www.yuxingxin.com;ssl on; #這里注意證書路徑 ssl_certificate /root/ssl/chained.pem; ssl_certificate_key /root/ssl/domain.key;ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA; ssl_session_cache shared:SSL:50m; ssl_dhparam /root/ssl/dhparam.pem; ssl_prefer_server_ciphers on; resolver 8.8.8.8; ssl_stapling on; ssl_trusted_certificate /root/ssl/signed.crt; add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;preload";location / { # 這里要改成自己存放博客靜態(tài)網(wǎng)頁的目錄 root/root/blog; indexindex.html index.htm; } } server { listen 80; # 這里改成自己的域名 server_name yuxingxin.com www.yuxingxin.com; ssl_certificate /root/ssl/chained.pem; ssl_certificate_key /root/ssl/domain.key;location / { return 301 https://$host$request_uri; }location /.well-known/acme-challenge/ { alias /root/www/challenges/; try_files $uri =404; }#error_page404/404.html; # redirect server error pages to the static page /50x.html # error_page 500 502 503 504/50x.html; location = /50x.html { root html; } }

配置自動(dòng)更新

Let's Encrypt 簽發(fā)的證書只有 90 天有效期,推薦使用腳本定期更新
創(chuàng)建腳本文件并賦予執(zhí)行權(quán)限

mkdir shell cd shell vi renew_cert.sh

并復(fù)制下面內(nèi)容

#!/bin/bash cd /root/ssl/ python acme_tiny.py --account-key account.key --csr domain.csr --acme-dir /root/www/challenges/ > signed.crt || exit wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem cat signed.crt intermediate.pem > chained.pem service nginx reload

這里借助crontab來定時(shí)執(zhí)行任務(wù),它是一個(gè)可以用來根據(jù)時(shí)間、日期、月份、星期的組合來調(diào)度對重復(fù)任務(wù)的執(zhí)行的守護(hù)進(jìn)程。
執(zhí)行

crontab -e

然后 添加如下內(nèi)容

0 0 1 * * /root/shell/renew_cert.sh >/dev/null 2>&1

這樣以后證書每個(gè)月都會自動(dòng)更新,一勞永逸。
另外這里也推薦一個(gè)網(wǎng)站,可以監(jiān)測你的證書的有效期
https://letsmonitor.org

這樣的話就算完了,但是這里有幾點(diǎn)做說明

  • dhparam的生成
openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048
  • 強(qiáng)制HTTPS
#另外還有兩種其他的配置方式,可以自行Googlelocation / { return 301 https://$host$request_uri; }
  • 關(guān)于HSTS
    HTTP Strict Transport Security的縮寫,即:“HTTP嚴(yán)格傳輸安全”。假設(shè)一個(gè)用戶從來沒有訪問過我的網(wǎng)站,,并且他第一次訪問的時(shí)候訪問的是 http://yuxingxin.com ,在正常的情況下,我的服務(wù)器就會給這位用戶返回一個(gè) 301 跳轉(zhuǎn)到 https://yuxingxin.com ,并且?guī)仙厦媾渲玫腍STS頭,在用戶下次訪問我的博客時(shí),只要 HSTS 還在有效期中,瀏覽器就會直接跳轉(zhuǎn)到相對應(yīng)的 https 頁面,并且這是不需要經(jīng)過數(shù)據(jù)傳輸?shù)?,直接在本地瀏覽器進(jìn)行的處理。
    目前大部分瀏覽器對HSTS的支持已經(jīng)相當(dāng)完美,具體各瀏覽器和版本的支持情況可以在這里上查看。 但是HSTS是有缺陷的,第一次訪問網(wǎng)站的客戶端,HSTS并不工作。 要解決這個(gè)問題,就需要我們下面要講解的HSTS preload list。它是一個(gè)站點(diǎn)的列表,并通過硬編碼寫入 Chrome 瀏覽器中,列表中的站點(diǎn)將會默認(rèn)使用 HTTPS 進(jìn)行訪問,此外,F(xiàn)irefox 、Safari 、IE 11 和 Edge 也同樣用一份 HSTS 站點(diǎn)列表,它申請加入需要一些條件:
  • 有一張有效的證書(如果是使用了 SHA-1 證書簽名算法的必須在 2016 年前失效)
  • 重定向所有的 HTTP 流量到 HTTPS ( HTTPS ONLY )
  • 全部子域名的流量均通過 HTTPS ,如果子域名的 www 存在的話也同樣需要通過 HTTPS 傳輸。
  • 在相應(yīng)的域名中輸出 HSTS 響應(yīng)頭
    1 過期時(shí)間至少大于 18 周(10886400 秒)
    2 必須聲明 includeSubdomains
    3 必須聲明 preload
    4 跳轉(zhuǎn)過去的那個(gè)頁面也需要有 HSTS 頭
    點(diǎn)擊這里開始申請,申請成功后,你的域名就會加入到這個(gè)列表
    ssl.png
    如果大多數(shù)瀏覽器都已經(jīng)更新到新的列表,那么針對國內(nèi)的 VPS ,不打開80端口,只打開 443 ,瀏覽器同樣會跳轉(zhuǎn)過來,這樣就可以免備案了,不過好像這樣對搜索引擎就不太友好。

測試

所有這些工作完成以后,我們可以對證書進(jìn)行檢測。這里是檢測地址 ,下面是我的域名的檢測報(bào)告。

report.jpeg
如果是A+,則說明你的配置是好著的。另外這里也給出一個(gè)國內(nèi)也列一個(gè)檢測網(wǎng)站

另外上面如果覺得麻煩的話,這里推薦一個(gè)別人寫的腳本,它是一個(gè)快速獲取/更新 Let's encrypt 證書的 shell script,使用該腳本可以簡化上面的流程。


本頁內(nèi)容由塔燈網(wǎng)絡(luò)科技有限公司通過網(wǎng)絡(luò)收集編輯所得,所有資料僅供用戶學(xué)習(xí)參考,本站不擁有所有權(quán),如您認(rèn)為本網(wǎng)頁中由涉嫌抄襲的內(nèi)容,請及時(shí)與我們聯(lián)系,并提供相關(guān)證據(jù),工作人員會在5工作日內(nèi)聯(lián)系您,一經(jīng)查實(shí),本站立刻刪除侵權(quán)內(nèi)容。本文鏈接:http://jstctz.cn/20457.html
相關(guān)開發(fā)語言
 八年  行業(yè)經(jīng)驗(yàn)

多一份參考,總有益處

聯(lián)系深圳網(wǎng)站公司塔燈網(wǎng)絡(luò),免費(fèi)獲得網(wǎng)站建設(shè)方案及報(bào)價(jià)

咨詢相關(guān)問題或預(yù)約面談,可以通過以下方式與我們聯(lián)系

業(yè)務(wù)熱線:余經(jīng)理:13699882642

Copyright ? 2013-2018 Tadeng NetWork Technology Co., LTD. All Rights Reserved.    

  • QQ咨詢
  • 在線咨詢
  • 官方微信
  • 聯(lián)系電話
    座機(jī)0755-29185426
    手機(jī)13699882642
  • 預(yù)約上門
  • 返回頂部