欢迎您光临深圳塔灯网络科技有限公司!
电话图标 余先生:13699882642

网站百科

为您解码网站建设的点点滴滴

11、使用和配置更安全的https协议

发表日期:2017-09 文章编辑:小灯 浏览次数:2609

一、选购和申请ssl证书的一些建议

谷歌从2017年开始chrome浏览器会把采用http协议的网站标记为不安全的网站,苹果也是从2017年开始规定所有的应用都必须采用https的加密连接。在国内,热火朝天的微信小程序也规定必须使用https协议的接入域名。特别是苹果商店的变化会影响到很多很多的开发者,现在默认的配置都是采用https协议连接的。从安全层面看的话https协议显然是比http协议有很多的优势。我们也应该紧跟潮流的趋势,在app中采用证书的验证,通过启用https协议来保护所访问到的资源。如果说我们自己的站点没有使用https协议的话,在大陆的场景下,容易被电信联通劫持,注入恶意的话费充值广告,所以最好还是让我们的网站强制使用https协议,起码可以避免isp的劫持。
关于ssl的原理就不多介绍了,接下来就介绍一下如何申请一个ssl证书。
常见的ssl证书类型有:dv、ov、ev,其安全等级为:ev>ov>dv。
常用的ssl厂商有:
1、Symantec
2、GeoTrust
3、trustasiahttps://www.trustasia.com/


二、云平台申请免费证书及Nginx配置

可以申请免费ssl证书的平台有很多,我们主要推荐的有腾讯云https://www.qcloud.com/、又拍云https://www.upyun.com、七牛https://www.qiniu.com、阿里云。这四个平台对应着其背后的四个厂商,我们主要考虑厂商的实力和做产品的持续度。
我们以腾讯云为例介绍一下如何申请ssl证书
1、登录腾讯云点击控制台:


2、在控制台中点击“云产品”下的“ssl证书管理”

3、进入“证书列表”页面后,点击“申请证书”

4、如果没有实名认证的话会要求先进行实名认证


5、实名认证通过后再进入“证书列表页”中点击“申请证书”,选择“亚洲诚信”的免费版dv证书,点确定。



6、证书申请页面填入相应信息,点击下一步



7、在下一步中选择“手动dns验证”,点击“确认申请”

8、在dnspod中更改主机记录和记录值为腾讯云提供的值


更改前
更改后

此时证书列表中该证书状态为“已颁发”。


9、我们把证书下载下来,解压缩一下,其中包括了Apache、IIS、Nginx、Tomcat四种服务器所对应的key,这个key我们要上传到服务器上去。


10、把下载下来的证书上传到服务器上:




我们在服务器上可以看到,这两个文件已经上传成功


我们把ssl文件放在/www/目录下:


11、nginx证书部署
我们可以参考nginx证书安装指引文档:https://www.qcloud.com/document/product/400/4143#2.-nginx-.E8.AF.81.E4.B9.A6.E9.83.A8.E7.BD.B2。
我们复制选中的部分:


在服务器中更改nginx配置文件/etc/nginx/conf.d/blog-com-8082.conf为:

upstream blog { server 127.0.0.1:8082; }server { listen 80; server_name blog.xiaoxiekeke.com; #rewrite ^(.*) https://$host$1 permanent; return 301 https://blog.xiaoxiekeke.com$request_uri; #如果是http协议的话重定向到https地址 } server {listen 443;#ssl证书访问的端口号 server_name blog.xiaoxiekeke.com; #填写绑定证书的域名 ssl on; ssl_certificate /www/ssl/1_blog.xiaoxiekeke.com_bundle.crt; ssl_certificate_key /www/ssl/2_blog.xiaoxiekeke.com.key; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配置 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照这个套件配置 ssl_prefer_server_ciphers on;if ($ssl_protocol = "") { rewrite ^(.*) https://$host$1 permanent; } location / { proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forward-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_set_header X-Nginx-Proxy true; proxy_pass http://blog; proxy_redirect off; } } ~ 

配置好后sudo nginx -t检查一下


重启nginx服务:

12、测试效果:
此时我们测试一下在浏览器中输入:http://blog.xiaoxiekeke.com/posts 会直接访问到https://blog.xiaoxiekeke.com/posts 安全域名下:


总结

经过了将近一个月的学习和摸索,慕课网scott老师的实战课程“全栈最后一公里”终于跟着学完了。这套课程真是满满的干货,学到了很多知识,物超所值。有兴趣的同学也可以购买下来学习,相信曾经付出的学习成本,总有一天时间会数百倍的回报给你。

在scott老师的指导下,我终于通过自己的努力把成功的把项目部署上线了,也了解了很多服务器安全配置相关的知识,算是刚入了全栈的门,感觉自己距离真正的全栈还有好远的距离。不过没关系,只要坚持下来,持续不断的学习,就会不断的进步,总有一天会心如所愿,成长成为一名真正合格的全栈工程师,我期待着这一天的到来。

在学习的过程中如果遇到任何问题都可以来 中问我,如果有什么心得体会也可以来 和我交流,我期待着在学习的过程中跟大家共勉!


本页内容由塔灯网络科技有限公司通过网络收集编辑所得,所有资料仅供用户学习参考,本站不拥有所有权,如您认为本网页中由涉嫌抄袭的内容,请及时与我们联系,并提供相关证据,工作人员会在5工作日内联系您,一经查实,本站立刻删除侵权内容。本文链接:http://dengtar.com/20417.html
相关开发语言
 八年  行业经验

多一份参考,总有益处

联系深圳网站公司塔灯网络,免费获得网站建设方案及报价

咨询相关问题或预约面谈,可以通过以下方式与我们联系

业务热线:余经理:13699882642

Copyright ? 2013-2018 Tadeng NetWork Technology Co., LTD. All Rights Reserved.    

  • QQ咨询
  • 在线咨询
  • 官方微信
  • 联系电话
    座机0755-29185426
    手机13699882642
  • 预约上门
  • 返回顶部