V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wensonsmith
V2EX  ›  SSL

花了一晚上将博客上了 https ,还是蛮简单的~

  •  
  •   wensonsmith · 2016-11-08 00:25:50 +08:00 · 18339 次点击
    这是一个创建于 2965 天前的主题,其中的信息可能已经有所发展或是发生改变。

    由于微信小程序要求接口使用 https, 以后会用到,所以先拿自己的博客练一练手。

    用的是 let's encrypt 免费证书,环境是 CentOS+ Nginx , 使用 certbot 安装证书。

    步骤是:

    1. 确保自己的域名解析全部是 A 记录
    2. 使用 certbot 安装证书
    3. 使用 crontab 自动 renew 证书
    4. 配置 NGINX ,ssl server
    5. 将 http 跳转到 https , 将 WWW 跳转到 NON-WWW

    现在域名前面跟一个绿色的 https ,看着倍爽呀 https://seekbetter.me

    seekbetter.me

    第 1 条附言  ·  2016-11-08 22:21:19 +08:00

    经过又一晚的折腾(滑稽脸), 我也变成优等生啦 !

    A+

    十分感谢 @mikeshinoda 的 SSL 配置生成器,好评!F到A+一步到位!


    就此总结一下评论里面比较好用的工具:

    ###1. 工具类

    @dynaguy ,SSL 测试工具 : https://www.ssllabs.com/ssltest/index.html

    @zqcolor ,acme-tiny证书安装工具: https://github.com/diafygi/acme-tiny

    @Technetiumer , 阿里云有免费的 Symantec: https://common-buy.aliyun.com/?commodityCode=cas#/buy

    @justyy ,一条龙服务cloudflare: https://www.cloudflare.com/

    @mikeshinoda ,牛逼的SSL配置生成器:https://mozilla.github.io/server-side-tls/ssl-config-generator/

    ###2. 参考资料

    @yizhilee ,https://blog.yizhilee.com/post/letsencrypt-certificate/

    @ylsc633 ,https://www.iphpt.com/detail/42

    @youyoulemon ,https://imququ.com/post/my-nginx-conf.html

    ###3. 感谢

    感谢 @anjunecha , @uncleroot, 两位大神给出的建议!

    最后 @sadscv , 我觉的看这些资料应该够了,我的步骤和记录不一定适合你。 看下面那么多评论说我还得用一晚上才能搞定的,你应该能感受到这确实不难。 安装证书看let' encrypt 官方说明, 配置 nginx用ssl配置生成器。 很简单!

    第 2 条附言  ·  2016-11-16 10:14:33 +08:00
    11/16 更新:

    @dynaguy 大神又给出了一个测试工具: https://securityheaders.io/

    在这个上面测试我才是 E ( 悲伤脸 )

    又有的折腾啦! 多谢 @dynaguy
    117 条回复    2019-11-29 15:02:13 +08:00
    1  2  
    sadscv
        1
    sadscv  
       2016-11-08 00:33:49 +08:00 via Android
    感谢分享,能介绍一下更详细的安装和配置过程吗?
    wensonsmith
        2
    wensonsmith  
    OP
       2016-11-08 00:36:44 +08:00   ❤️ 1
    @sadscv

    今天有点晚了,我明天写一个详细的教程,把步骤和配置和踩过的坑发上来。
    Drops
        3
    Drops  
       2016-11-08 00:42:41 +08:00
    请问,怎么把博客从 Github Pages 转移到 VPS 上啊?放在 VPS 上才能够实现 https
    JohnLou
        4
    JohnLou  
       2016-11-08 00:44:26 +08:00
    明明很简单,照官网的来就行了,就一行命令,其他的什么第三方工具反而乱七八糟。
    yhxx
        5
    yhxx  
       2016-11-08 00:46:52 +08:00
    @Drops 现在 github pages 貌似也支持 https 了
    Drops
        6
    Drops  
       2016-11-08 00:52:57 +08:00
    @yhxx 不能自定义域名使用啊
    justyy
        7
    justyy  
       2016-11-08 01:49:02 +08:00
    @wensonsmith 用 cloudflare flexible, 10 秒钟上 SSL
    dynaguy
        8
    dynaguy  
       2016-11-08 02:04:20 +08:00   ❤️ 5
    @wensonsmith 不好意思砸一下你的场子!
    会写“ Hollo World!"然后就说”原来编程还是蛮简单~“,太奶义务了吧.
    看看你可怜的得分吧:(F)
    https://www.ssllabs.com/ssltest/analyze.html?d=seekbetter.me
    RqPS6rhmP3Nyn3Tm
        9
    RqPS6rhmP3Nyn3Tm  
       2016-11-08 02:18:58 +08:00 via iPad
    F 评级,还要努力啊
    SoloCompany
        10
    SoloCompany  
       2016-11-08 02:28:36 +08:00
    @Drops 简单说,如果用 github.io 域名直接就支持,如果想用自己的域名,反代就是了
    yizhilee
        11
    yizhilee  
       2016-11-08 02:35:54 +08:00 via Android   ❤️ 1
    @sadscv 昨天刚写了一篇关于 Let's Encrypt 的文章 https://blog.yizhilee.com/post/letsencrypt-certificate/
    lisonfan
        12
    lisonfan  
       2016-11-08 02:36:23 +08:00 via iPhone
    A+ 路过
    xshwy
        13
    xshwy  
       2016-11-08 02:37:45 +08:00 via iPhone
    阿里云和腾讯云都有无条件使用的免费证书的,一年起签,方便不少
    anjunecha
        14
    anjunecha  
       2016-11-08 02:44:49 +08:00 via iPhone   ❤️ 1
    OpenSSL 的版本不合适,建议自己编译最新的, Nginx 配置不对, ssl_protocol 和 cipher 写得不合适,另外,开启 HSTS 一定要慎重
    zqcolor
        15
    zqcolor  
       2016-11-08 03:31:24 +08:00   ❤️ 1
    acme-tiny 很方便安装 let ‘ s encrypt

    https://github.com/diafygi/acme-tiny
    onlyhot
        16
    onlyhot  
       2016-11-08 05:40:18 +08:00 via iPhone
    这类教程太多了,我这种小白都可以半小时部署完
    twoyuan
        17
    twoyuan  
       2016-11-08 07:14:16 +08:00
    @Drops Coding.net 的 pages 现在可以自动签 LE 的证书了,只要绑定域名即可;另外 GitLab 提供的 pages 服务可以配置自己的证书。自己 VPS 的话如楼上所说反代应该就可以了
    panda1001
        18
    panda1001  
       2016-11-08 07:19:51 +08:00 via Android
    阿里云可以免费签一年的赛铁门克,腾讯云一年的 GoTrust
    RobertYang
        19
    RobertYang  
       2016-11-08 07:52:34 +08:00 via Android
    @lisonfan 现在一堆 A+ 233333
    dennyzhang
        20
    dennyzhang  
       2016-11-08 07:57:32 +08:00
    SSL 证书还有免费的呀。我还以为都要自己买
    fox0001
        21
    fox0001  
       2016-11-08 08:07:19 +08:00 via Android
    let's encrypt 就是为了推动 https ~总之,免费就是爽
    justyy
        22
    justyy  
       2016-11-08 08:14:54 +08:00
    justyy
        25
    justyy  
       2016-11-08 08:20:52 +08:00
    29EtwXn6t5wgM3fD
        26
    29EtwXn6t5wgM3fD  
       2016-11-08 08:21:44 +08:00 via Android
    @Drops 国内 VeryCloud 免费 cdn 可以绑 ssl 证书
    justyy
        27
    justyy  
       2016-11-08 08:21:49 +08:00
    好吧, 有 BUG , 会自动的在 图片 URL 里前加空格。
    ![]( https://justyy.com/jpg/justyy-ssl-grade-a.jpg)
    Tokin
        28
    Tokin  
       2016-11-08 08:26:04 +08:00
    一波 IP 送上,不过很难相信一个 ssl 弄一晚- -。。。那么多教程,应该几十分钟就弄伤了才对。。。
    viko16
        29
    viko16  
       2016-11-08 08:26:59 +08:00 via Android
    @justyy 别试了,回复本来就不支持 markdown 。加空格的规则是中英文数字之间补,可以搜下盘古之白
    eoo
        30
    eoo  
       2016-11-08 08:44:08 +08:00 via Android
    我这超级菜鸟上 SSL 也不过半个小时。。。。

    你居然要一个晚上
    wensonsmith
        31
    wensonsmith  
    OP
       2016-11-08 09:16:16 +08:00
    @dynaguy 哈哈哈, 这个有啥砸场子的。 刚弄好也没优化。 也是了解的没那么深,所以觉得弄好没有想象中那么复杂。 这个 F 确实得搞一搞
    wensonsmith
        32
    wensonsmith  
    OP
       2016-11-08 09:21:09 +08:00
    @JohnLou 这个就是官方推荐 的工具呀

    @justyy 这个是免费的么? 那挺好


    @BXIA 是的, SSL 中的吊车尾 XD


    @onlyhot
    @eoo
    只能说我是超级菜鸟中的 VIP 了。。。主要是 NGINX 配置花了不少时间,不知道 WWW 跳转 NON-WWW 的 SERVER, 也得写上 SSL 的配置


    @Tokin 我要这 IP 真的不到一丝的快意。。。因为又没有广告能赚钱 :(
    wensonsmith
        33
    wensonsmith  
    OP
       2016-11-08 09:21:35 +08:00
    @anjunecha 谢谢大神指点! 么么哒~
    wensonsmith
        34
    wensonsmith  
    OP
       2016-11-08 09:23:23 +08:00
    @zqcolor certbot 也很方便, 我主要时间都花在 NGINX 配置上了 : sad
    smilenceX
        35
    smilenceX  
       2016-11-08 09:24:58 +08:00
    @dynaguy 感谢分享这个评级的站,涨知识了,我也有的折腾了。
    wensonsmith
        36
    wensonsmith  
    OP
       2016-11-08 09:29:29 +08:00
    @justyy
    @lisonfan

    厉害了我的哥
    lianxiaoyi
        37
    lianxiaoyi  
       2016-11-08 09:32:08 +08:00
    哈。。。博客也搞 https 。。。。。。这纯粹只是为了装逼吧。。。。。
    whx20202
        38
    whx20202  
       2016-11-08 09:33:37 +08:00
    @dynaguy 感谢分享这个网站哈
    SourceMan
        39
    SourceMan  
       2016-11-08 09:34:59 +08:00
    @lianxiaoyi 理论上来说,是的,我也这么做。。。

    楼主记得上 HTTP/2 更简单
    lslqtz
        40
    lslqtz  
       2016-11-08 09:35:43 +08:00 via iPhone
    日经贴。。。
    xss
        41
    xss  
       2016-11-08 09:44:28 +08:00
    你的关于页 404 了
    anjunecha
        42
    anjunecha  
       2016-11-08 09:49:27 +08:00 via iPhone   ❤️ 1
    我推荐你去尝试一下 caddy ,比起 nginx 更适合你这个需求
    wobuhuicode
        43
    wobuhuicode  
       2016-11-08 09:50:50 +08:00 via iPhone
    真的不需要一个晚上……一个小时就能搞定了……
    RobertYang
        44
    RobertYang  
       2016-11-08 09:56:16 +08:00 via Android
    @lianxiaoyi 主要还是为了 HTTP2 还有装逼 (逃
    arens
        45
    arens  
       2016-11-08 09:57:34 +08:00
    likuku
        46
    likuku  
       2016-11-08 09:58:50 +08:00
    @dynaguy 哈哈, F ...折腾一晚上,还不如不用 https ,省下折腾的时间精力。
    wensonsmith
        47
    wensonsmith  
    OP
       2016-11-08 10:13:29 +08:00
    @lianxiaoyi 你的世界里面装逼有这么重要? 都说了为了练手
    wensonsmith
        48
    wensonsmith  
    OP
       2016-11-08 10:14:55 +08:00
    @likuku 折腾是种乐趣,和 A+ 或者 F 无关
    chenyg32
        49
    chenyg32  
       2016-11-08 10:19:09 +08:00
    前 2 天在大神的指点下我也上了。为楼主的分享精神点赞
    wensonsmith
        50
    wensonsmith  
    OP
       2016-11-08 10:21:57 +08:00
    @xss 哈哈哈,这叫做查无此人啊。。。
    ylsc633
        51
    ylsc633  
       2016-11-08 11:21:59 +08:00
    几个月前在 phphub 上 看到有人分享这个!

    于是动手把自己的博客也加了一个!不为啥!就看小绿锁 很好看!

    https://www.iphpt.com/detail/42
    https://www.iphpt.com/detail/43

    页面很慢,刷新下就可以了!1M 带宽..且图片忘记传七牛了..

    部分页面没有绿 是因为 多说的 插件不是 https 的! 所以能用,但不是绿色!
    ianzhou233
        52
    ianzhou233  
       2016-11-08 11:33:35 +08:00 via Android
    全站 https,图片调用如何解决?存储在七牛这些云里面?
    aixiaoge
        53
    aixiaoge  
       2016-11-08 11:51:00 +08:00
    我用 cloudflare ,也把它变绿了
    lslqtz
        54
    lslqtz  
       2016-11-08 11:51:51 +08:00
    @ianzhou233 图片调用除了首页可以直接无视,首页可以在输出前替换或者批量替换数据库。
    外链图片可以保存到本地。
    https://www.tzcos.com
    目前首页的图片都是 https ,但是进了文章页居然变成 http 了,我也不清楚是什么原因。。
    lslqtz
        55
    lslqtz  
       2016-11-08 11:54:03 +08:00
    @ylsc633 这个不是多说的问题哦,是微博图床的问题。
    Mixed Content: The page at 'https://www.iphpt.com/detail/42' was loaded over HTTPS, but requested an insecure image 'http://tp1.sinaimg.cn/1959615452/50/5659801384/1'. This content should also be served over HTTPS.
    jquery.min.js:3 Mixed Content: The page at 'https://www.iphpt.com/detail/42' was loaded over HTTPS, but requested an insecure image 'http://tp4.sinaimg.cn/2439435851/50/5675811320/1'. This content should also be served over HTTPS.
    jquery.min.js:3 Mixed Content: The page at 'https://www.iphpt.com/detail/42' was loaded over HTTPS, but requested an insecure image 'http://tp1.sinaimg.cn/1959615452/50/5659801384/1'. This content should also be served over HTTPS.
    lslqtz
        56
    lslqtz  
       2016-11-08 11:54:55 +08:00
    @ylsc633 我发现是多说头像的微博图床问题。
    Technetiumer
        57
    Technetiumer  
       2016-11-08 11:58:59 +08:00
    https://void-fm.ga 可惜不是绿

    另外阿里云有免费的 Symantec 证书了
    https://common-buy.aliyun.com/?commodityCode=cas#/buy
    youyoulemon
        58
    youyoulemon  
       2016-11-08 12:03:39 +08:00
    https://imququ.com/post/my-nginx-conf.html
    https://imququ.com/post/letsencrypt-certificate.html
    参考资料,
    实在看不下去你这一晚上的成果#手动滑稽
    Technetiumer
        59
    Technetiumer  
       2016-11-08 12:03:59 +08:00
    @lslqtz
    @ylsc633
    微博明明支持 https ,看来还是多说的问题, Disqus 就似乎没问题
    ibnf
        60
    ibnf  
       2016-11-08 12:05:51 +08:00
    About me 404
    lslqtz
        61
    lslqtz  
       2016-11-08 12:06:17 +08:00
    @Technetiumer 微博部分情况下使用 https 会出现证书错误,多说可能也是因为这个不敢用。
    Technetiumer
        62
    Technetiumer  
       2016-11-08 12:12:46 +08:00
    @lslqtz 新浪使用的部分 CDN 给新浪签发了合用的证书,比如网宿、 CDNetworks 。部分 CDN 没有,比如阿里,于是。。。。。
    不过新浪有个 HTTPS 专用域名,只有网宿 CDN ,不知道头像图片有没有
    iA7489
        63
    iA7489  
       2016-11-08 12:13:45 +08:00 via iPhone
    acme.sh

    墙裂推荐
    lslqtz
        64
    lslqtz  
       2016-11-08 12:16:34 +08:00
    @Technetiumer 专用域名我倒不清楚是哪个。。
    说实话,这些人一般是微博接入所以直接用微博图片吧,如果拉源过来就好了。
    首页不加载多说的话没什么影响,几张图片而已,脚本和自己站的不被加载就 ok 。
    uncleroot
        65
    uncleroot  
       2016-11-08 12:26:52 +08:00 via Android   ❤️ 1
    @wensonsmith 主要是有几个不安全的协议导致评分低的,禁用 sslv3 rc4 应该差不多了。
    还有不少提升速度的可以折腾
    OSCP Stapling , ecc 证书, http/2,甚至 hsts 尤其是 http/2,为兼容 chrome 的 alpn 可能还需要自己编译 nginx.
    推荐看看这里的相关教程
    imququ.com
    wensonsmith
        66
    wensonsmith  
    OP
       2016-11-08 12:27:58 +08:00
    @ylsc633 博客挺漂亮的~

    @ianzhou233 七牛有 https 的地址,主题的图片资源都是服务器本地的,写文章的时候用 Https 地址图片就没问题了

    @youyoulemon 哈哈哈,我是人笨而不自知呀

    @iA7489
    @Technetiumer 这是个好东西啊
    wensonsmith
        67
    wensonsmith  
    OP
       2016-11-08 12:30:04 +08:00
    @uncleroot 多谢指导,我在花一晚上时间优化优化~~ imququ.com 这个博客很吊啊,在很多贴见过
    poorcai
        68
    poorcai  
       2016-11-08 12:30:54 +08:00 via Android
    我用的 oneinstack 一键安装包,自带的有。
    poorcai
        69
    poorcai  
       2016-11-08 12:32:28 +08:00 via Android
    贴个网址,见笑了。
    https://mychoi.cc
    poorcai
        70
    poorcai  
       2016-11-08 12:42:46 +08:00 via Android
    @yizhilee 你的字体好漂亮,请问是什么字体啊?
    konakona
        71
    konakona  
       2016-11-08 13:12:16 +08:00
    博客速度挺快!
    ianzhou233
        72
    ianzhou233  
       2016-11-08 13:19:38 +08:00 via Android
    @wensonsmith 我现在也这样做的。不过似乎调用腾讯和阿里的对象存储都是 http ,想调用谷歌的图片。无奈调不出,毕竟被土了
    Tokin
        73
    Tokin  
       2016-11-08 13:43:20 +08:00
    @ylsc633 多说不是支持 https 了么?
    ylsc633
        74
    ylsc633  
       2016-11-08 13:45:26 +08:00
    @Tokin 可能是微博头像的问题.... 反正首页有就行了! 其他的,我并不太介意....
    wbolor
        75
    wbolor  
       2016-11-08 13:52:45 +08:00
    也是最近两天 全站切到了 https
    https://doutian.me
    Tokin
        76
    Tokin  
       2016-11-08 13:54:48 +08:00
    @wensonsmith 真是不错的检测网站,刚刚自己也测试了下,结果是 A : https://www.ssllabs.com/ssltest/analyze.html?d=biji.io
    Showfom
        77
    Showfom  
       2016-11-08 14:48:12 +08:00 via iPhone
    一直全站 https

    https://sb.sb/
    wensonsmith
        78
    wensonsmith  
    OP
       2016-11-08 15:29:40 +08:00
    @Showfom

    你这个域名吊的很啊~~
    Showfom
        79
    Showfom  
       2016-11-08 15:52:35 +08:00 via iPhone
    @wensonsmith 因为我吊大
    yoa1q7y
        80
    yoa1q7y  
       2016-11-08 16:07:22 +08:00
    https://ovnrain.com

    评级 A+
    http2
    kkzxak47
        81
    kkzxak47  
       2016-11-08 16:41:52 +08:00
    @yoa1q7y 整个网站就一张图一个 js 么……
    yizhilee
        82
    yizhilee  
       2016-11-08 17:12:40 +08:00
    @poorcai 你问的是哪部分的字体呢?
    Ultraman
        83
    Ultraman  
       2016-11-08 17:27:59 +08:00
    poorcai
        84
    poorcai  
       2016-11-08 17:53:59 +08:00 via Android
    @yizhilee 就是文章内容字体啊
    yoa1q7y
        85
    yoa1q7y  
       2016-11-08 18:04:26 +08:00
    @kkzxak47 没想好用来做点什么
    yoa1q7y
        86
    yoa1q7y  
       2016-11-08 18:05:38 +08:00
    @vcinex 知乎评分 F 。。。。
    jdlau
        87
    jdlau  
       2016-11-08 18:09:18 +08:00
    这么巧,我也刚弄了
    justyy
        88
    justyy  
       2016-11-08 18:09:29 +08:00
    @wensonsmith 有免费的,也有付费的
    l9rw
        89
    l9rw  
       2016-11-08 18:17:48 +08:00
    需要花一晚上折腾?腾讯云有免费 ssl ,从申请到配置好不超过 10 分钟。
    ubear1991
        90
    ubear1991  
       2016-11-08 18:20:37 +08:00
    刚弄了一把,评分 C
    yizhilee
        91
    yizhilee  
       2016-11-08 18:42:39 +08:00
    @poorcai 正文字体是 Monda.
    chenxuhua
        92
    chenxuhua  
       2016-11-08 19:10:21 +08:00 via Android
    国内的技术博客没必要 HTTPS
    initdrv
        93
    initdrv  
       2016-11-08 19:22:26 +08:00


    哎,也不枉当初查找各种技术资料来上个所谓逼格高大上的 SSL 证书……😞
    cai314494687
        94
    cai314494687  
       2016-11-08 19:58:26 +08:00
    https://3li3.com/ 今天也上了 https
    YooEgg
        95
    YooEgg  
       2016-11-08 20:10:45 +08:00
    噗,有什么好喷的,楼主就是想展示下成果、交流下。全是装逼的。。
    支持你楼主。
    poorcai
        96
    poorcai  
       2016-11-08 20:28:25 +08:00 via Android
    @yizhilee 蟹蟹
    mikeshinoda
        97
    mikeshinoda  
       2016-11-08 20:37:43 +08:00
    https://mozilla.github.io/server-side-tls/ssl-config-generator/
    这里有个 SSL 配置的生成器,通吃各种 webserver 。
    mikeshinoda
        98
    mikeshinoda  
       2016-11-08 20:38:47 +08:00
    接上楼。
    生成后复制粘贴 得分 A 哈哈
    wclebb
        99
    wclebb  
       2016-11-08 21:45:01 +08:00
    @lianxiaoyi 写「中国认定非法词」时,会断的。
    wensonsmith
        100
    wensonsmith  
    OP
       2016-11-08 22:30:46 +08:00
    @YooEgg 哈哈哈,这个 B,是要给他们装的呀~~

    @mikeshinoda 太感谢了!! 拯救我与各种 nginx 配置中啊!! 果断复制粘贴,拿到 A+ 哈哈哈
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2219 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 00:03 · PVG 08:03 · LAX 16:03 · JFK 19:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.