摘要:使用定時證書因為是免費證書,所以有一個有效期是天�����,到期之后需要一下���。工具測試評級測試評級出品的配置生成器
0x01: 背景
博客經(jīng)常不更新�,服務(wù)器還時不時掛掉一次����,導(dǎo)致 PageRank 基本是負(fù)的了,不過技術(shù)上要跟的上更新啊! 微信小程序接口必須是 https, 這次就當(dāng)是練手了����。
0x02: 整體思路流程
確保自己的域名解析全部是 A 記錄
使用 Let"s Encrypt 證書, Certbot 安裝證書
使用 Crontab 自動 Renew 證書
配置 Nginx ,SSL Server
將 HTTP 跳轉(zhuǎn)到 HTTPS , 將 WWW 跳轉(zhuǎn)到 NON-WWW
用檢測工具檢測一下自己 HTTPS 的評級
0x03: 檢查自己的域名解析是否是A記錄
剛開始使用 Certbot 安裝證書的時候����,老是報錯,經(jīng)過搜索發(fā)現(xiàn)��,原來自己的域名有 CNAME 解析的��。 所以在安裝證書錢����,請確保自己的域名都是A記錄解析
0x04: 使用免費的 Let"s Encrypt 證書
關(guān)于免費的證書,這里有其他選項可供選擇:
阿里云免費的 : Symantec 證書
Let"s Encrypt :免費證書
一站式解決方案: cloudflare
根據(jù) Lets" Encrypt 官網(wǎng)說明��,我們使用推薦的 Certbot 安裝我們的證書��。 當(dāng)然你也可以選擇 acme-tiny 來安裝證書��。
我的服務(wù)器環(huán)境是 CentOS 7 和 Nginx/1.10.1�, 這里強烈推薦大家將Nginx 升級到最新的版本,新版本在SSL配置上比較省事��。
//安裝Certbot
sudo yum install certbot
//安裝命令很簡單�����, -w 后面跟網(wǎng)站根目錄���, -d 就是你要添加證書的域名�,如果有多個域名���,多個-d就可以了
certbot certonly --webroot -w /var/www/example -d example.com -d www.example.com
如果順利��,他會提示出安裝成功�����,證書會保存在 /etc/letsencrypt/live/example.com/ 里面���。
0x05: 使用 Crontab 定時Renew 證書
因為是免費證書��, 所以有一個有效期是90天��,到期之后需要 Renew 一下��。 官方推薦是每天檢查用任務(wù) Renew 兩次���,因為如果證書沒過期,他就只是檢測一下���,并不會做其他操作�����。這里我們設(shè)置的定時任務(wù)是每天檢查一次�。
$ crontab -e
10 6 * * * certbot renew --quiet
//列出任務(wù)看看是否添加成功
$ crontab -l
0x06: 配置NGINX, SSL Server
節(jié)約生命����,請使用神器: Mozilla出品的 SSL配置生成器
使用生成器需要填寫 nginx 和 openssl 版本����, 用下面命令進行查看
//查看nginx版本
nginx -v
//查看openssl 版本
yum info openssl
//如果需要更新openssl
yum update openssl
下面就是我生成的配置(nginx: 1.10.1, openssl: 1.0.1e)
server {
server_name example.com wwww.example.com;
# Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
return 301 https://example.com$request_uri;
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
# certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
# Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
ssl_dhparam /etc/letsencrypt/live/example.com/dhparam.pem;
# intermediate configuration. tweak to your needs.
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS";
ssl_prefer_server_ciphers on;
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
## verify chain of trust of OCSP response using Root CA and Intermediate certs
#ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;
#resolver ;
server_name example.com;
index index.html;
root /home/wwwroot/example.com;
location ~ .*.(ico|gif|jpg|jpeg|png|bmp|swf)$
{
access_log off;
expires 1d;
}
location ~ .*.(js|css|txt|xml)?$
{
access_log off;
expires 12h;
}
location / {
try_files $uri $uri/ =404;
}
access_log /home/wwwlogs/example.com.log access;
}
上面配置的第一個 Server 將所有的 http 請求跳轉(zhuǎn)到 https 請求上。 其中 ssl_dhparam 這個參數(shù)的 .pem 用下面命令生成:
openssl dhparam -out /etc/letsencrypt/live/example.com/dhparam.pem 2048
現(xiàn)在加上https看一下效果吧���!
0x07: 將WWW跳轉(zhuǎn)到NON-WWW
為了SEO,網(wǎng)站使用 WWW 前綴�����,或者全部不使用 WWW,要實現(xiàn)的效果就是將下面三種情況���,
統(tǒng)統(tǒng)跳轉(zhuǎn)到 https://example.com
http://example.com
http://www.example.com
https://www.example.com
0x06中的配置,第一個 server 已經(jīng)將處理好錢兩種情況�����, 現(xiàn)在來處理第三種情況���。
這個配置主要需要注意的是��,這里也要加上所有的 ssl 配置參數(shù)�。
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
# certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
# Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
ssl_dhparam /etc/letsencrypt/live/example.com/dhparam.pem;
# intermediate configuration. tweak to your needs.
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS";
ssl_prefer_server_ciphers on;
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
## verify chain of trust of OCSP response using Root CA and Intermediate certs
#ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;
server_name www.example.com;
return 301 https://example.com$request_uri;
}
0x08: 工具
ssllabs 測試評級
securityheaders 測試評級
Mozilla出品的 SSL配置生成器
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/39419.html
