給自己的網(wǎng)站加上HTTPS

image

前言

現(xiàn)在谷歌等廠商大力推行https協(xié)議,如果你的網(wǎng)站不支持https,在使用谷歌瀏覽器時(shí),會(huì)被警告網(wǎng)站不安全。w(?Д?)w,不安全?哪里不安全了?OK,那我改成支持https好吧。關(guān)于http怎么不安全,https又怎么安全了,下篇文章再討論。

一 申請(qǐng)證書

申請(qǐng)阿里云免費(fèi)SSL證書

首先,我們需要去購(gòu)買一個(gè)SSL證書。目前阿里云上有免費(fèi)證書購(gòu)買,有效期一年。

image

image

image

依次點(diǎn)擊完成申請(qǐng),審核過后即可在控制臺(tái)的SSL證書頁面看到自己的證書了。
選擇需要使用的服務(wù)器類型。


image

二 安裝證書到服務(wù)器

2.1 Tomcat服務(wù)器

如上圖所示,點(diǎn)擊對(duì)應(yīng)服務(wù)器類型的幫助按鈕可以查看Tomcat7的證書安裝方法,但是我使用的是Tomcat8,踩了一些坑,在這里額外說一下。

  1. 在Server.xml中可以找到有兩個(gè)Connector 端口為8843的注釋, 一種是使用Http11NioProtocol 另一種是Http11AprProtocol , 根據(jù)注釋我們使用第一種。
  2. keystoreFile文件路徑的配置,如果按照說明里面的配置,提示找不到文件。因此可以配置了絕對(duì)地址:/etc/apache-tomcat-8.5.15/cert/xxxx.pfx。
  3. tomcat8 配置ssl的方式是有所改變的,多了SSLHostConfig、Certificate標(biāo)簽,因此百度上的配置大部分都是不適用的,tomcat啟動(dòng)是會(huì)報(bào)錯(cuò)。這里附上官網(wǎng)文檔,感興趣可以自行查看:https://tomcat.apache.org/tomcat-8.5-doc/config/http.html。

基本配置完成后如下:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true">
        <SSLHostConfig>
            <Certificate certificateKeystoreFile="D:/apache-tomcat-8.5.15/cert/xxx.pfx"
                         certificateKeystoreType="PKCS12" certificateKeystorePassword="填寫密碼" />
        </SSLHostConfig>
    </Connector>

2.2 Nginx代理

最近我給自己的服務(wù)器添加了Nginx代理,所以學(xué)習(xí)了下Nginx配置Https。如果使用了Nginx來作為網(wǎng)站入口,那么Tomcat就不必配置SSL證書了。直接配置Nginx的SSL證書即可。

修改Nginx配置文件nginx.conf,將原本的http配置全刪掉,直接改成重定向到https即可。(除非你想要http和https都支持)
如下:

    server {
        listen       80;
        server_name  erictao2.com www.erictao2.com;

        rewrite ^ https://$http_host$request_uri? permanent;
    }

添加一段配置rewrite ^ https://$http_host$request_uri? permanent;即可重定向到https。
然后再新增一個(gè)server配置:

    server {
        listen       443 ssl;
        server_name  erictao2.com www.erictao2.com;

        ssl_certificate      /etc/nginx/cert/1157188_erictao2.com.pem;
        ssl_certificate_key  /etc/nginx/cert/1157188_erictao2.com.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        if ($host != 'www.erictao2.com'){
        rewrite ^/(.*)$ www.erictao2.com/$1 permanent;
        }

        location / {
            root   html;
            index  index.html index.htm;
            proxy_pass http://127.0.0.1:8080/;
        }
    }

將其中的ssl_certificatessl_certificate_key改成自己對(duì)應(yīng)的文件即可。然后重載Nginx配置,輸入命令nginx -s reload。

完成以上步驟后,再次訪問自己的網(wǎng)站就能看到url上多了https,谷歌瀏覽器也承認(rèn)你的網(wǎng)站是安全網(wǎng)站了。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

友情鏈接更多精彩內(nèi)容