前言

2017 年可以說是 https 快速發(fā)展的一年。大量的網(wǎng)站都從 http 協(xié)議遷移到了 https 協(xié)議。https 是構(gòu)建在 SSL/TLS 基礎(chǔ)上的 http協(xié)議，相對(duì) http 來說，https 主要提供了 http 傳輸過程中的數(shù)據(jù)安全機(jī)制。

在原來的 http 協(xié)議中，傳輸?shù)膬?nèi)容都是明文傳遞的。在傳輸?shù)娜魏我粋€(gè)網(wǎng)絡(luò)節(jié)點(diǎn)上，路由器、交換機(jī)、運(yùn)營商核心交換機(jī)等，都能夠很簡單的嗅探到傳輸?shù)膬?nèi)容。不僅用戶的隱私安全完全無法保證，更嚴(yán)重的是還非常容易被人在這些節(jié)點(diǎn)上進(jìn)行攻擊和劫持，在返回的 http 內(nèi)容中篡改返回結(jié)果。例如在返回的結(jié)果中插入廣告，在返回的內(nèi)容中惡意代碼等等。

要讓自己的網(wǎng)站和 http 服務(wù)升級(jí)到 https ，你需要為自己的網(wǎng)站申請(qǐng)一張 https 證書。公網(wǎng)可信的 https 證書由 CA 廠商簽發(fā)。

證書的類型根據(jù)認(rèn)證的級(jí)別可以分為以下三種

• 域名認(rèn)證（Domain Validation）：最低級(jí)別認(rèn)證，可以確認(rèn)申請(qǐng)人擁有這個(gè)域名。對(duì)于這種證書，瀏覽器會(huì)在地址欄顯示一把鎖。
• 公司認(rèn)證（Company Validation）：確認(rèn)域名所有人是哪一家公司，證書里面會(huì)包含公司信息。
• 擴(kuò)展認(rèn)證（Extended Validation）：最高級(jí)別的認(rèn)證，瀏覽器地址欄會(huì)顯示公司名。

根據(jù)覆蓋的范圍又可以分為以下三種

• 單域名證書：只能用于單一域名，foo.com 的證書不能用于www.foo.com
• 通配符證書：可以用于某個(gè)域名及其所有一級(jí)子域名，比如*.foo.com的證書可以用于foo.com，也可以用于www.foo.com
• 多域名證書：可以用于多個(gè)域名，比如foo.com和bar.com

https 證書也不是免費(fèi)的。認(rèn)證級(jí)別越高，覆蓋范圍越廣的 https 證書也就越貴。

幸好為了推廣 https 證書，國內(nèi)的云服務(wù)廠商大多都提供了免費(fèi)的 https 證書簽發(fā)服務(wù)。當(dāng)然是認(rèn)證級(jí)別最低，覆蓋范圍最小的那種了。

本文主要描述如何通過阿里云申請(qǐng)和配置一個(gè) https 證書

阿里云申請(qǐng) https 證書

首先需要有一個(gè)阿里云賬號(hào)。然后登陸到阿里云的網(wǎng)站，在控制臺(tái)中找到 CA證書服務(wù)。如下圖所示：

https 證書申請(qǐng)入口

證書選擇

進(jìn)入 CA 證書服務(wù)頁面后，點(diǎn)擊“購買證書”按鈕，進(jìn)入購買頁面。選擇如下的的免費(fèi)證書。這里阿里云比較雞賊，免費(fèi)證書選項(xiàng)不是那么容易出來。要在在界面中選擇保護(hù)類型“1個(gè)域名”，同時(shí)選擇品牌“Symantec”，然后再在證書類型中才會(huì)出現(xiàn)“免費(fèi)型DV SSL”選項(xiàng)。這個(gè)兩個(gè)條件都需要具備。

選擇免費(fèi)的 SSL 證書

點(diǎn)擊“立即購買”并且支付后，會(huì)在 CA 證書服務(wù)頁面生成一個(gè)新訂單。然后點(diǎn)擊“補(bǔ)全”按鈕補(bǔ)充信息。

證書訂單

指定域名

首先要填寫為哪個(gè)域名申請(qǐng)的證書。這里必須指定一個(gè)具體的二級(jí)域名，不支持通配符。

證書域名

填寫個(gè)人信息

這里填寫聯(lián)系人信息和域名驗(yàn)證類型。我這里選擇的是 DSN 驗(yàn)證類型。

聯(lián)系人信息

域名驗(yàn)證

補(bǔ)全這些信息后，就等待系統(tǒng)自動(dòng)審核通過。點(diǎn)擊訂單“詳情按鈕”可以看到證書驗(yàn)證需要在申請(qǐng)證書域名的解析中增加一條圖中的 TXT 類型的解析記錄來進(jìn)行域名的驗(yàn)證。

image.png

注意一下，如果你申請(qǐng)證書的域名在阿里云的這個(gè)賬戶下，那么在“填寫個(gè)人信息”步驟中，勾選復(fù)選框“證書綁定的域名在【阿里云的云解析】產(chǎn)品中，授權(quán)系統(tǒng)自動(dòng)添加一條記錄以完成域名授權(quán)驗(yàn)證”，系統(tǒng)將會(huì)自動(dòng)增加如下的域名解析記錄。否則需要手工增加這條域名解析記錄

域名解析

等待一段時(shí)間后，訂單狀態(tài)會(huì)顯示為簽發(fā)成功，表示證書已經(jīng)簽發(fā)成功了。

簽發(fā)成功

證書配置

證書簽發(fā)成功后，需要在 http web 服務(wù)器中配置證書。在上圖中點(diǎn)擊“下載” 按鈕后，阿里云提供了下面幾種 web服務(wù)器的配置樣例

證書下載和配置樣例

其中 nginx 配置的樣例如下所示

server {
    listen 443;
    server_name localhost;
    ssl on;
    root html;
    index index.html index.htm;
    ssl_certificate   cert/214504606840473.pem;
    ssl_certificate_key  cert/214504606840473.key;
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    location / {
        root html;
        index index.html index.htm;
    }
}

訪問樣例

在 web 服務(wù)器上配置成功后，訪問該域名的網(wǎng)頁，會(huì)顯示出一個(gè)綠色的鎖的標(biāo)志，這標(biāo)識(shí)你的網(wǎng)站已經(jīng)在 https 證書的保護(hù)下了。

https 網(wǎng)頁樣例

這個(gè)是通過 chrome 訪問的樣子。其他瀏覽器可能不太一樣。