兩種方式免費部署HTTPS

前言

HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer 或 Hypertext Transfer Protocol Secure，超文本傳輸安全協議），是以安全爲目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，所以加密的詳細內容就須要SSL。 它是一個URI scheme（抽象標識符體系），句法類同http:體系。用於安全的HTTP數據傳輸。https:URL代表它使用了HTTP，但HTTPS存在不一樣於HTTP的默認端口及一個加密/身份驗證層（在HTTP與TCP之間）。這個系統的最初研發由網景公司(Netscape)進行，並內置於其瀏覽器Netscape Navigator中，提供了身份驗證與加密通信方法。如今它被普遍用於萬維網上安全敏感的通信，例如交易支付方面。

1、爲何使用HTTPS

HTTP協議以明文方式發送內容，不提供任何方式的數據加密，若是攻擊者截取了Web瀏覽器和網站服務器之間的傳輸報文，就能夠直接讀懂其中的信息，所以HTTP協議不適合傳輸一些敏感信息，好比信用卡號、密碼等。

爲了解決HTTP協議的這一缺陷，須要使用另外一種協議：安全套接字層超文本傳輸協議HTTPS。爲了數據傳輸的安全，HTTPS在HTTP的基礎上加入了SSL協議，SSL依靠證書來驗證服務器的身份，併爲瀏覽器和服務器之間的通訊加密。

HTTPS協議能夠防止網絡數據在傳輸過程當中被抓取、篡改，能夠用來應對運營商劫持、廣告植入。此外，訪問支持HTTPS協議的網站時，谷歌等瀏覽器會在地址欄處顯示一個安全標識，這樣在用戶看來會顯得網站比較安全，提高客戶信任度。

部署HTTPS須要先購買SSL證書，證書的價格爲每一年幾千到幾萬元不等。也有一些服務商會提供免費的SSL證書，下面介紹兩種申請免費SSL證書並部署HTTPS的方式。

2、Let's encrypt免費證書

Let's Encrypts是一個公共的免費SSL的項目，逐漸被廣大用戶傳播和使用，由Mozilla、Cisco、Akamai、IdenTrust、EFF等組織人員發起，主要的目的爲推動網站從HTTP向HTTPS過分的進程，目前已經有愈來愈多的用戶加入和贊助支持。

下面介紹下ubuntu下安裝Let's encrypt證書的過程。

1.安裝certbot（用於自動續約證書）

# 添加安裝源
sudo add-apt-repository ppa:certbot/certbot
# 更新apt安裝源
sudo apt-get update
# 安裝
sudo apt-get install python-certbot-apache

2.安裝Lets encrypt

# 安裝 letsencrypt
sudo apt-get install letsencrypt
# 生成證書
letsencrypt certonly --agree-tos --email youname@163.com -d www.domain.com

運行上訴命令後會在/etc/letsencrypt文件夾下生成證書相關文件

3.配置nginx

在/etc/nginx/conf.d/文件夾下面增長一個站點配置文件website.conf，內容以下（將www.domain.com替換成你的實際域名）：

server {
    listen 80;
    # listen [::]:80;
    server_name www.domain.com; 
　　# Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response. 
　　return 301 https://$host$request_uri; 
}
server {
    listen 443 ssl http2;
    # listen [::]:443 ssl http2;
    server_name www.domain.com;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }

    #error_page  404              /404.html;

    # redirect server error pages to the static page /50x.html
    #
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }

    # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
    ssl_certificate /etc/letsencrypt/live/www.domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/www.domain.com/privkey.pem;
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;

    # Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
    # ssl_dhparam /etc/ssl/certs/dhparam.pem;

    # intermediate configuration. tweak to your needs.
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
    ssl_prefer_server_ciphers on;

    # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
    add_header Strict-Transport-Security max-age=15768000;

    # OCSP Stapling ---
    # fetch OCSP records from URL in ssl_certificate and cache them
    ssl_stapling on;
    ssl_stapling_verify on;

    ## verify chain of trust of OCSP response using Root CA and Intermediate certs
    # ssl_trusted_certificate /etc/letsencrypt/live/www.gabin.top/root_ca_cert_plus_intermediates;

    # resolver 8.8.8.8 8.8.4.4 valid=300s;
    # resolver_timeout 5s;
}

4.重載nginx配置

運行以下命令：

nginx -s reload

5.添加定時續簽任務

Lets encrypt證書默認有效期爲三個月，須要定時續簽。
編輯定時任務：

crontab -e

增長定時任務：

# 天天夜裏凌晨 2 點續簽:
* 2 * * * service nginx stop & letsencrypt renew & service nginx start

3、七牛雲免費證書

許多雲服務商如阿里雲、騰訊雲、七牛雲會提供免費的SSL證書，此類證書的有效期大多爲一年，到期須要手動續簽。這裏經過七牛雲舉例說明。

1.申請證書

訪問https://portal.qiniu.com/cert...，選擇購買免費證書：

填寫信息並申請成功後，能夠在證書列表查看相關證書：

2.下載證書

依次點擊【詳情】-【查看證書】-【下載證書】下載證書文件：

下載完成後將證書上傳到服務器。

3.修改nginx配置

此證書設置的方法與Lets encrypt相似，只需將上傳後證書文件所在路徑替換一下便可，這裏就不在贅述了。

---

• 有任何疑問能夠關注微信公衆號「全棧社區」進行提問，還可獲取更多站長、開發者必備的前端、後端、運維技術乾貨。
• 19元美國VPS、網站空間、建站源碼：www.xumaoyun.com