两种方式免费部署HTTPS

前言

HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer 或 Hypertext Transfer Protocol Secure,超文本传输安全协议),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司(Netscape)进行,并内置于其浏览器Netscape Navigator中,提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。

一、为什么使用HTTPS

HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果***者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。

为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS。为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。

HTTPS协议可以防止网络数据在传输过程中被抓取、篡改,可以用来应对运营商劫持、广告植入。此外,访问支持HTTPS协议的网站时,谷歌等浏览器会在地址栏处显示一个安全标识,这样在用户看来会显得网站比较安全,提升客户信任度。

部署HTTPS需要先购买SSL证书,证书的价格为每年几千到几万元不等。也有一些服务商会提供免费的SSL证书,下面介绍两种申请免费SSL证书并部署HTTPS的方式。

二、Let‘s encrypt免费证书

Let‘s Encrypts是一个公共的免费SSL的项目,逐渐被广大用户传播和使用,由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起,主要的目的为推进网站从HTTP向HTTPS过度的进程,目前已经有越来越多的用户加入和赞助支持。

下面介绍下ubuntu下安装Let‘s encrypt证书的过程。

1.安装certbot(用于自动续约证书)

# 添加安装源
sudo add-apt-repository ppa:certbot/certbot
# 更新apt安装源
sudo apt-get update
# 安装
sudo apt-get install python-certbot-apache

2.安装Lets encrypt

# 安装 letsencrypt
sudo apt-get install letsencrypt
# 生成证书
letsencrypt certonly --agree-tos --email [email protected] -d www.domain.com

运行上诉命令后会在/etc/letsencrypt文件夹下生成证书相关文件

3.配置nginx

在/etc/nginx/conf.d/文件夹下面增加一个站点配置文件website.conf,内容如下(将www.domain.com替换成你的实际域名):

server {
    listen 80;
    # listen [::]:80;
    server_name www.domain.com;
  # Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
  return 301 https://$host$request_uri;
}
server {
    listen 443 ssl http2;
    # listen [::]:443 ssl http2;
    server_name www.domain.com;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }

    #error_page  404              /404.html;

    # redirect server error pages to the static page /50x.html
    #
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }

    # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
    ssl_certificate /etc/letsencrypt/live/www.domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/www.domain.com/privkey.pem;
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;

    # Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
    # ssl_dhparam /etc/ssl/certs/dhparam.pem;

    # intermediate configuration. tweak to your needs.
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ‘ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS‘;
    ssl_prefer_server_ciphers on;

    # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
    add_header Strict-Transport-Security max-age=15768000;

    # OCSP Stapling ---
    # fetch OCSP records from URL in ssl_certificate and cache them
    ssl_stapling on;
    ssl_stapling_verify on;

    ## verify chain of trust of OCSP response using Root CA and Intermediate certs
    # ssl_trusted_certificate /etc/letsencrypt/live/www.gabin.top/root_ca_cert_plus_intermediates;

    # resolver 8.8.8.8 8.8.4.4 valid=300s;
    # resolver_timeout 5s;
}

4.重载nginx配置

运行如下命令:

nginx -s reload

5.添加定时续签任务

Lets encrypt证书默认有效期为三个月,需要定时续签。
编辑定时任务:

crontab -e

增加定时任务:

# 每天夜里凌晨 2 点续签:
* 2 * * * service nginx stop & letsencrypt renew & service nginx start

三、七牛云免费证书

许多云服务商如阿里云、腾讯云、七牛云会提供免费的SSL证书,此类证书的有效期大多为一年,到期需要手动续签。这里通过七牛云举例说明。

1.申请证书

访问https://portal.qiniu.com/certificate/apply,选择购买免费证书:

填写信息并申请成功后,可以在证书列表查看相关证书:

2.下载证书

依次点击【详情】-【查看证书】-【下载证书】下载证书文件:

下载完成后将证书上传到服务器。

3.修改nginx配置

此证书设置的方法与Lets encrypt类似,只需将上传后证书文件所在路径替换一下即可,这里就不在赘述了。

  • 有任何疑问可以关注微信公众号“全栈社区”进行提问,还可获取更多站长、开发者必备的前端、后端、运维技术干货。
  • 19元美国VPS、网站空间、建站源码:www.xumaoyun.com

原文地址:https://blog.51cto.com/14332465/2398704

时间: 2024-07-31 08:42:40

两种方式免费部署HTTPS的相关文章

基于Maven的SpringBoot项目实现热部署的两种方式

下面我将介绍使用maven构建的SpringBoot项目中实现热部署的两种方式,使得部署变得异常简单,同时两种方式也非常的简单. 热部署 devtools Pom.xml中直接添加依赖即可: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-devtools</artifactId> <scope>provided</

k8s 创建资源的两种方式 - 每天5分钟玩转 Docker 容器技术(124)

命令 vs 配置文件 Kubernetes 支持两种方式创建资源: 1. 用 kubectl 命令直接创建,比如: kubectl run nginx-deployment --image=nginx:1.7.9 --replicas=2 在命令行中通过参数指定资源的属性. 2. 通过配置文件和 kubectl apply 创建,要完成前面同样的工作,可执行命令: kubectl apply -f nginx.yml nginx.yml 的内容为: 资源的属性写在配置文件中,文件格式为 YAML

网络协议 finally{ return问题 注入问题 jdbc注册驱动问题 PreparedStatement 连接池目的 1.2.1DBCP连接池 C3P0连接池 MYSQL两种方式进行实物管理 JDBC事务 DBUtils事务 ThreadLocal 事务特性 并发访问 隔离级别

1.1.1 API详解:注册驱动 DriverManager.registerDriver(new com.mysql.jdbc.Driver());不建议使用 原因有2个: >导致驱动被注册2次. >强烈依赖数据库的驱动jar 解决办法: Class.forName("com.mysql.jdbc.Driver"); 1.1.2 API详解:java.sql.Statement接口: 操作sql语句,并返回相应结果 String sql = "某SQL语句&qu

对Java代码加密的两种方式,防止反编译

使用Virbox Protector对Java项目加密有两种方式,一种是对War包加密,一种是对Jar包加密.Virbox Protector支持这两种文件格式加密,可以加密用于解析class文件的java.exe,并且可以实现项目源码绑定制定设备,防止部署到客户服务器的项目被整体拷贝. 两种加密方式 War 包加密 当你的项目在没有完成竣工的时候,不适合使用 war 文件,因为你的类会由于调试之类的经常改,这样来回删除.创建 war 文件很不爽,最好是你的项目已经完成了,不改了,那么就打个 w

创建资源的两种方式

命令 vs 配置文件 Kubernetes 支持两种方式创建资源: 1. 用 kubectl 命令直接创建 kubectl run nginx-deployment --image=nginx:1.7.9 --replicas=2 在命令行中通过参数指定资源的属性. 2. 通过配置文件和 kubectl apply 创建 要完成前面同样的工作,可执行命令: [[email protected] k8s]# kubectl apply -f nginx.yaml deployment.extens

[Contract] 测试 Solidity 合约代码的两种方式 与 优缺点

第一种,使用 Truffle 这类继承了测试工具的框架,只要编写 js 脚本就可以测试 web3 与合约的逻辑. 优点是完全可控,粒度够细,便于集成测试:缺点是需要花费一些时间编写测试脚本,不过值得. 第二种,使用 Remix 提供的图形化方法调用,可以快速验证方法返回值的正确性,方便了调试. 只需要 Remix 载入文件,部署合约,调试.优点是图形化.上手快:缺点是无法做到测试情形全部覆盖.粒度粗. 小结:以上两种方式使用上可以做一个结合,开发阶段持续编写测试用例,验证调试阶段可以适当利用图形

Zabbix+shell两种方式监控任意web并及时报警

最近有朋友问我怎么监控公司网站:目的是网站不能访问及时报警. 当然一些云服务器肯定是自带功能,可是物理服务器可没有那么智能,但是开源是强大的,这里就分享一下个人监控网站的两种方式. 一.zabbix自带的web检测: 1.1)配置>主机(需联网)>web场景>创建web场景 添加你所需要检测网站的url 1.2)创建触发器(邮件报警,短信报警,微信报警提前配置其一即可) 1.3)监测中>Web检测 1.4)触发 二.shell+nc+namp等工具+crontab #!/bin/b

《连载 | 物联网框架ServerSuperIO教程》- 10持续传输大块数据流的两种方式(如:文件)

1.C#跨平台物联网通讯框架ServerSuperIO(SSIO)介绍 <连载 | 物联网框架ServerSuperIO教程>1.4种通讯模式机制. <连载 | 物联网框架ServerSuperIO教程>2.服务实例的配置参数说明 <连载 | 物联网框架ServerSuperIO教程>- 3.设备驱动介绍 <连载 | 物联网框架ServerSuperIO教程>-4.如开发一套设备驱动,同时支持串口和网络通讯. <连载 | 物联网框架ServerSupe

WebService的两种方式SOAP和REST比较 (转)

我的读后感:由于第一次接触WebService,对于很多概念不太理解,尤其是看到各个OpenAPI的不同提供方式时,更加疑惑.如google map api采用了AJAX方式,通过javascript提供API,而淘宝TOP则采用直接的HTTP+XML请求方式,最令我疑惑的是教材上讲的WSDL,UDDI从没有在这些API中出现过.现在知道了WebService原来有两种方式,一是SOAP协议方式,在这种方式下需要WSDL,UDDI等,二是REST方式,这种方式根本不需要WSDL,UDDI等.而且