3月22日更新

谷歌爸爸升级Chrome后,证书StartCom被拉黑了,无法访问。

12月7日更新

果然StartCom基本算不行了,每一家都不认可。今天刚好给公司的服务器配置SSL的时候,发现有一家厂子的SSL挺便宜的,4刀一年,遂入手三年。+-+;

基本配置和下面一样,这一家买的时候,你的Private Key是直接发送到邮箱的,所以需要用scp命令自己传送到服务器去。

配置成功的话可以通过下面命令测试下有效性:

nginx -t -c /your nginx config.conf
若测试通过的话,重启一下Nginx,就基本完成了。

可以把之前的Http的80端口监听做一下处理。

server {
listen 80;
server\_name xxx.com;
rewrite ^/(.\*) https://xxx.com$1 permanent;
}

这样基本就OK了。

正文

最近看了阿里安全的一篇文章全球HTTPS时代已来,你跟上了吗?写的很浅显易懂,想了想也趁此机会去把自己Blog更新成HTTPS的吧,对于淘汰旧的技术,我一向都是超级支持的。

当然第一步就是证书了,这里StartSSL可以注册,免费一年,可以无限续期。这个网站注册很有意思,用一次性密码登录过后,可以下载你对应的证书,安装在浏览器中,之后就可以使用了。登录到他们的后台,选择「Validations Wizard」把自己的域名添加进去就可以了。

在选择「Certificates Wizard」中填入CSR,这个CSR可以直接在Vps主机里面用命令生成:

openssl genrsa -out domon.pem 2048
openssl req -new -key domon.pem -out domon.csr

接着下一步,会下载下来StartSSL免费的SSL包,里面对应了常用的几种Web环境:N、A、IIS。

注意:Apache的证书是两个,需要把Root里面的复制到域名crt文件中。简单的方法就是直接使用Nginx目录下面的。

完了后,把这个crt文件上传到Vps当中,修改下配置文件,下面以Nginx为例:

  • 修改 listen 80 —> listen 443 ssl

  • 添加 ssl_certificate 下载后的crt文件

  • 添加 ssl_certificate_key 生成的key文件

  • 注意:每一行都需以分号结尾

      listen 443 ssl;
          server_name www.domon.cn;
          index index.html index.htm index.php;
          root  xxx;
          ssl_certificate xxx/domon.crt;
          ssl_certificate_key  xxx/domon.key  ;
    

确认无误的话,就可以重启下Nginx的服务,就可以带s的访问自己的主站了。

service nginx restart

后记

Chrome对于Https要求很高,在刚弄玩站的时候,我这里一直红色感叹号:

  • 由于我用的是Typecho,所以需要在他的配置文件config.inc.php中加入这样一行,开启Https资源
    /** 开启HTTPS */
    define('TYPECHO_SECURE',true);

  • 修改当前主题下面的评论comments.php
    $this->commentUrl(),将其替换为:echo str_replace("http","https",$this->commentUrl());

  • 发现我加的Cnzz统计是http的,我也将其替换成https的。

但是最终还有一个东西,我的图片资源是借用了下Orrindeng的域名,这酸爽,先把引用的这个图片删除了去就行了。

有时间在用个新的域名绑定下七牛的Https访问就好了。