企業建站知識推廣知識小程序微信營銷 APP開發前端設計 MindManager 開發語言自媒體

11、使用和配置更安全的https協議

發表日期：2017-09 文章編輯：小燈瀏覽次數：2796

一、選購和申請ssl證書的一些建議

谷歌從2017年開始chrome瀏覽器會把采用http協議的網站標記為不安全的網站，蘋果也是從2017年開始規定所有的應用都必須采用https的加密連接。在國內，熱火朝天的微信小程序也規定必須使用https協議的接入域名。特別是蘋果商店的變化會影響到很多很多的開發者，現在默認的配置都是采用https協議連接的。從安全層面看的話https協議顯然是比http協議有很多的優勢。我們也應該緊跟潮流的趨勢，在app中采用證書的驗證，通過啟用https協議來保護所訪問到的資源。如果說我們自己的站點沒有使用https協議的話，在大陸的場景下，容易被電信聯通劫持，注入惡意的話費充值廣告，所以最好還是讓我們的網站強制使用https協議，起碼可以避免isp的劫持。
關于ssl的原理就不多介紹了，接下來就介紹一下如何申請一個ssl證書。
常見的ssl證書類型有：dv、ov、ev，其安全等級為：ev>ov>dv。
常用的ssl廠商有：
1、Symantec
2、GeoTrust
3、trustasiahttps://www.trustasia.com/

二、云平臺申請免費證書及Nginx配置

可以申請免費ssl證書的平臺有很多，我們主要推薦的有騰訊云https://www.qcloud.com/、又拍云https://www.upyun.com、七牛https://www.qiniu.com、阿里云。這四個平臺對應著其背后的四個廠商，我們主要考慮廠商的實力和做產品的持續度。
我們以騰訊云為例介紹一下如何申請ssl證書
1、登錄騰訊云點擊控制臺：

2、在控制臺中點擊“云產品”下的“ssl證書管理”

3、進入“證書列表”頁面后，點擊“申請證書”

4、如果沒有實名認證的話會要求先進行實名認證

5、實名認證通過后再進入“證書列表頁”中點擊“申請證書”，選擇“亞洲誠信”的免費版dv證書，點確定。

6、證書申請頁面填入相應信息，點擊下一步

7、在下一步中選擇“手動dns驗證”，點擊“確認申請”

8、在dnspod中更改主機記錄和記錄值為騰訊云提供的值

更改前

更改后

此時證書列表中該證書狀態為“已頒發”。

9、我們把證書下載下來，解壓縮一下，其中包括了Apache、IIS、Nginx、Tomcat四種服務器所對應的key，這個key我們要上傳到服務器上去。

10、把下載下來的證書上傳到服務器上：

我們在服務器上可以看到，這兩個文件已經上傳成功

我們把ssl文件放在/www/目錄下：

11、nginx證書部署
我們可以參考nginx證書安裝指引文檔：https://www.qcloud.com/document/product/400/4143#2.-nginx-.E8.AF.81.E4.B9.A6.E9.83.A8.E7.BD.B2。
我們復制選中的部分：

在服務器中更改nginx配置文件/etc/nginx/conf.d/blog-com-8082.conf為：

upstream blog { server 127.0.0.1:8082; }server { listen 80; server_name blog.xiaoxiekeke.com; #rewrite ^(.*) https://$host$1 permanent; return 301 https://blog.xiaoxiekeke.com$request_uri; #如果是http協議的話重定向到https地址 } server {listen 443;#ssl證書訪問的端口號 server_name blog.xiaoxiekeke.com; #填寫綁定證書的域名 ssl on; ssl_certificate /www/ssl/1_blog.xiaoxiekeke.com_bundle.crt; ssl_certificate_key /www/ssl/2_blog.xiaoxiekeke.com.key; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照這個協議配置 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照這個套件配置 ssl_prefer_server_ciphers on;if ($ssl_protocol = "") { rewrite ^(.*) https://$host$1 permanent; } location / { proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forward-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_set_header X-Nginx-Proxy true; proxy_pass http://blog; proxy_redirect off; } } ~

配置好后sudo nginx -t檢查一下

重啟nginx服務：

12、測試效果：
此時我們測試一下在瀏覽器中輸入：http://blog.xiaoxiekeke.com/posts 會直接訪問到https://blog.xiaoxiekeke.com/posts 安全域名下：

總結

經過了將近一個月的學習和摸索，慕課網scott老師的實戰課程“全棧最后一公里”終于跟著學完了。這套課程真是滿滿的干貨，學到了很多知識，物超所值。有興趣的同學也可以購買下來學習，相信曾經付出的學習成本，總有一天時間會數百倍的回報給你。

在scott老師的指導下，我終于通過自己的努力把成功的把項目部署上線了，也了解了很多服務器安全配置相關的知識，算是剛入了全棧的門，感覺自己距離真正的全棧還有好遠的距離。不過沒關系，只要堅持下來，持續不斷的學習，就會不斷的進步，總有一天會心如所愿，成長成為一名真正合格的全棧工程師，我期待著這一天的到來。

在學習的過程中如果遇到任何問題都可以來中問我，如果有什么心得體會也可以來和我交流，我期待著在學習的過程中跟大家共勉！

本頁內容由塔燈網絡科技有限公司通過網絡收集編輯所得，所有資料僅供用戶學習參考，本站不擁有所有權，如您認為本網頁中由涉嫌抄襲的內容，請及時與我們聯系，并提供相關證據，工作人員會在5工作日內聯系您，一經查實，本站立刻刪除侵權內容。本文鏈接:http://www.webpost.com.cn/20417.html

上一篇：<《圖解HTTP》讀書筆記（三）下一篇：spring boot支持https請求>