使用 https, 並將 WWW 跳轉到 NON-WWW

0x01: 背景

博客常常不更新，服務器還時不時掛掉一次，致使 PageRank 基本是負的了，不過技術上要跟的上更新啊! 微信小程序接口必須是 https, 此次就當是練手了。

0x02: 總體思路流程

1. 確保本身的域名解析所有是 A 記錄

2. 使用 Let's Encrypt 證書， Certbot 安裝證書

3. 使用 Crontab 自動 Renew 證書

4. 配置 Nginx ,SSL Server

5. 將 HTTP 跳轉到 HTTPS , 將 WWW 跳轉到 NON-WWW

6. 用檢測工具檢測一下本身 HTTPS 的評級

0x03: 檢查本身的域名解析是不是A記錄

剛開始使用 Certbot 安裝證書的時候，總是報錯，通過搜索發現，原來本身的域名有 CNAME 解析的。 因此在安裝證書錢，請確保本身的域名都是A記錄解析

0x04: 使用免費的 Let's Encrypt 證書

關於免費的證書，這裏有其餘選項可供選擇：

• 阿里雲免費的 : Symantec 證書

• Let's Encrypt ：免費證書

• 一站式解決方案： cloudflare

根據 Lets' Encrypt 官網說明，咱們使用推薦的 Certbot 安裝咱們的證書。 固然你也能夠選擇 acme-tiny 來安裝證書。
個人服務器環境是 CentOS 7 和 Nginx/1.10.1， 這裏強烈推薦你們將Nginx 升級到最新的版本，新版本在SSL配置上比較省事。

//安裝Certbot
sudo yum install certbot

//安裝命令很簡單， -w 後面跟網站根目錄， -d 就是你要添加證書的域名，若是有多個域名，多個-d就能夠了
certbot certonly --webroot -w /var/www/example -d example.com -d www.example.com

若是順利，他會提示出安裝成功，證書會保存在 /etc/letsencrypt/live/example.com/ 裏面。

0x05: 使用 Crontab 定時Renew 證書

由於是免費證書， 因此有一個有效期是90天，到期以後須要 Renew 一下。 官方推薦是天天檢查用任務 Renew 兩次，由於若是證書沒過時，他就只是檢測一下，並不會作其餘操做。這裏咱們設置的定時任務是天天檢查一次。

$ crontab -e

10 6 * * * certbot renew --quiet

//列出任務看看是否添加成功
$ crontab -l

0x06: 配置NGINX， SSL Server

節約生命，請使用神器： Mozilla出品的 SSL配置生成器
使用生成器須要填寫 nginx 和 openssl 版本， 用下面命令進行查看

//查看nginx版本
nginx -v
//查看openssl 版本
yum info openssl
//若是須要更新openssl
yum update openssl

下面就是我生成的配置（nginx: 1.10.1, openssl: 1.0.1e）

server {
    server_name example.com  wwww.example.com;
    # Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
    return 301 https://example.com$request_uri;
}

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;

    # Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
    ssl_dhparam /etc/letsencrypt/live/example.com/dhparam.pem;

    # intermediate configuration. tweak to your needs.
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
    ssl_prefer_server_ciphers on;

    # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
    add_header Strict-Transport-Security max-age=15768000;

    # OCSP Stapling ---
    # fetch OCSP records from URL in ssl_certificate and cache them
    ssl_stapling on;
    ssl_stapling_verify on;

    ## verify chain of trust of OCSP response using Root CA and Intermediate certs
    #ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;

    #resolver <IP DNS resolver>;

    server_name example.com;
    index index.html;
    root  /home/wwwroot/example.com;

    location ~ .*\.(ico|gif|jpg|jpeg|png|bmp|swf)$
    {
        access_log   off;
        expires      1d;
    }

    location ~ .*\.(js|css|txt|xml)?$
    {
        access_log   off;
        expires      12h;
    }

    location / {
        try_files $uri $uri/ =404;
    }

    access_log  /home/wwwlogs/example.com.log  access;
}

上面配置的第一個 Server 將全部的 http 請求跳轉到 https 請求上。 其中 ssl_dhparam 這個參數的 .pem 用下面命令生成：

openssl dhparam -out /etc/letsencrypt/live/example.com/dhparam.pem 2048

如今加上https看一下效果吧！

0x07: 將WWW跳轉到NON-WWW

爲了SEO,網站使用 WWW 前綴，或者所有不使用 WWW,要實現的效果就是將下面三種狀況，
通通跳轉到 https://example.com

http://example.com
http://www.example.com
https://www.example.com

0x06中的配置，第一個 server 已經將處理好錢兩種狀況， 如今來處理第三種狀況。
這個配置主要須要注意的是，這裏也要加上全部的 ssl 配置參數。

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;

    # Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
    ssl_dhparam /etc/letsencrypt/live/example.com/dhparam.pem;

    # intermediate configuration. tweak to your needs.
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
    ssl_prefer_server_ciphers on;

    # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
    add_header Strict-Transport-Security max-age=15768000;

    # OCSP Stapling ---
    # fetch OCSP records from URL in ssl_certificate and cache them
    ssl_stapling on;
    ssl_stapling_verify on;

    ## verify chain of trust of OCSP response using Root CA and Intermediate certs
    #ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;


    server_name www.example.com;
    return 301 https://example.com$request_uri;
}

0x08: 工具

• ssllabs 測試評級

• securityheaders 測試評級

• Mozilla出品的 SSL配置生成器