記錄啓用HTTPS的全過程

　　由於 https 採用 ssl 加密，因此部署 https 時須要申請證書，證書的做用就是對瀏覽器和Web服務器雙方的身份驗證。

步驟1:申請證書

　　咱們採用Let's Encrypt簽發的免費證書，雖然 Let’s Encrypt 只有90天的有效期，可是能夠用Certbot自動部署工具，進入Certbot 主頁，能夠看到下圖所示。

Let's Encrypt 簽發的證書有效期只有90天，甚至但願縮短到60天。有效期越短，泄密後可供監控的窗口就越短。爲了支撐這麼短的有效期，就必須自動化驗證和簽發。

由於自動化了，長遠而言，維護反而比手動申請再安裝要簡單。

在Certbot首頁選擇本身的web服務器類型和操做系統，咱們使用的是 nginx+centos6.5，選擇後就會自動跳轉到install頁面，

注意：centos6.5默認的python版本是2.6.6，安裝Certbot須要python2.7版本，將來Certbot會對python3.x支持（Python 3.x support will hopefully be added in the future），

遇到了升級python的問題，能夠參考另外一篇博客：如何升級python？

1.安裝certbot

　　wget https://dl.eff.org/certbot-auto

　　chmod a+x certbot-auto

　　certbot-auto

執行certbot-auto命令會安裝一些packages，建立虛擬環境，在建立虛擬環境的過程當中，須要輸入域名（提醒：用逗號或/或空格分割域名）、輸入郵箱（用於急切的通知和找回丟失的key）、贊成agreement、選擇ssl.conf；看下面的圖片

     

2.申請證書

　　申請證書有兩種驗證方式，一種是standalone，這種驗證方式雖然也能夠部署後，可是之後更新證書的時候須要重啓 web 服務器；

　　第二種是webroot，就是在網站根目錄下生成一個文件，經過訪問該文件來驗證，不須要重啓 web 服務器。

　　第一種命令：./path/to/certbot-auto certonly --standalone -d example.com -d www.example.com

　　第二種命令：./path/to/certbot-auto certonly --webroot -w /var/www/example -d example.com -d www.example.com -w /var/www/baidu -d baidu.com -d www.baidu.com （/var/www/example是網站的目錄）

我用了第二種方法。執行第二種命令的過程當中會有提醒，圖片以下

　　

3.測試自動生成證書是否成功

　　./path/to/certbot-auto renew --dry-run

4.添加定時任務自動更新證書

　　Since Let's Encrypt certificates last for 90 days，因此咱們仍是寫個定時任務吧

　　crontab -u root -e (-u root 表示哪一個用戶的定時任務)

　　添加：* * * */3 * ./path/to/certbot-auto renew --quiet (表示每3個月執行一次)

 

步驟2:部署https

　　修改nginx的配置文件(好比在/usr/local/nginx/conf/nginx.conf)，添加以下代碼，而後重啓nginx

# HTTPS server
# 部署HTTPS
server {
　　listen 443 ssl;
　　server_name www.example.com example.com;
　　root /var/www/example;

　　ssl on;

　　ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
　　ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
　　ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;

　　ssl_session_cache shared:SSL:1m;
　　ssl_session_timeout 5m;
　　ssl_protocols TLSv1.2;（version1.2 is the only secure protocol version. 請參考SSL Labs: Increased Penalty When TLS 1.2 Is Not Supported）

　　ssl_ciphers HIGH:!aNULL:!MD5;
　　ssl_prefer_server_ciphers on;

}

　　另外還能夠加入以下代碼實現80端口重定向到443，代碼片斷以下

server {
　　listen 80;
　　server_name www.example.com example.com;
　　#實現80端口重定向到443
　　rewrite ^(.*) https://$server_name$1 permanent;（或return 301 https://www.example.com$request_uri）

}

 

---

 

另外：安裝成功的nginx如何添加未編譯模塊？

在重啓nginx後發生了錯誤，錯誤以下：

nginx: [emerg] the "ssl" parameter requires ngx_http_ssl_module in /usr/local/nginx/conf/nginx.conf:117  //說明缺乏http_ssl_module模塊
nginx: configuration file /usr/local/nginx/conf/nginx.conf test failed

解決方法以下：

步驟1:查看nginx編譯安裝時的命令，安裝了哪些模塊和ngnix版本

　　/usr/local/nginx/sbin/nginx -V

　　會顯示以下信息：

nginx version: nginx/1.7.7
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-11) (GCC)
configure arguments: --prefix=/usr/local/nginx --user=www --group=www

步驟2:從新編譯 nginx-1.7.7

　　wget http://nginx.org/download/nginx-1.7.7.tar.gz

　　tar zxvf nginx-1.7.7.tar.gz

　　cd nginx-1.7.7

　　//configure參數要和步驟1的configure arguments如出一轍

　　./configure --prefix=/usr/local/nginx --with-http_ssl_module  --user=www --group=www

　　make (沒有make install)

步驟3:備份nginx的二進制文件

　　cp /usr/local/nginx/sbin/nginx　 /usr/local/nginx/sbin/nginx.bak

步驟4:覆蓋nginx的二進制文件

　　cp objs/nginx   /usr/local/nginx/sbin/

　　會提醒以下信息：

　　cp：是否覆蓋"/usr/local/nginx/sbin/nginx"？ y
　　cp: 沒法建立普通文件"/usr/local/nginx/sbin/nginx": 文本文件忙 （nginx二進制文件繁忙，能夠中止nginx，再試一次就能夠了）

步驟5:啓動nginx

　　service nginx start (或/etc/init.d/nginx start)