HTTPS上線過程說明(阿里雲提供免費證書)


一、上馬HTTPS的原因:

①、蘋果App Store強制其平台上的app均要使用HTTPS

②、網站經常被劫持,用戶和領導希望使用HTTPS

③、跟隨HTTPS的大趨勢

 

二、應用上馬HTTPS之部門工作:

①、運維:接入層部署支持HTTPS及后期上線配合

②、開發&QA:頁面元素加載,要跟隨訪問協議(src=”//www.perofu.com/test.jpg”)等等及測試

 

三、接入層支持HTTPS時機之重要性:

①、有一定規模應用的企業(即大量未部署HTTPS的應用及將要新增的應用),無論是否要上HTTPS。新應用的,請先在接入層(Nginx、Tenginx)的服務上,配置上支持HTTPS

【吐血經歷:就為了App Store上HTTPS,每個二級域名的接入層Nginx(電信聯通各2台)都進行了升級,工作雖然不繁瑣,但是量大,就很惡心了】

②、初創企業,一開始就配置支持HTTPS,並形成安裝范本,這樣大家都好過

 

【接入層服務支持HTTPS,應該從現在開始】

【運維和開發,最怕的就是歷史遺留問題】

 

四、SSL證書:

①、購買主流廠商的SSL證書:

簡單點的,查看下國內一些公司網站的證書廠商,根據價錢,進行選擇

淘寶:GlobalSign nv-sa

360:WoSign

②、申請免費的SSL證書:阿里雲

 

五、前期https准備:

①、Nginx和openssl的版本選擇,並對https進行測試,nginx的https配置和優化的最佳配置【困難】

②、對比http和https的性能情況(基調任務監控)

 

六、接入層支持HTTPS:

 

①、安裝命令:

        Nginx安裝參數,僅針對HTTPS的,依據情況添加

①、安裝openssl:

tar -axf openssl-1.0.2e.tar.gz && cd openssl-1.0.2e

./config --prefix=/usr enable-shared

make

make install

 

②、安裝nginx(Tengine/2.1.2):

./configure --prefix=/data/PRG/tengine_perofu-www --with-pcre=../pcre-8.32/ --add-module=../ngx_cache_purge-2.0 --with-http_concat_module --with-http_spdy_module --with-http_v2_module

make

make install

 

②、SSL配置:

 

        listen       443 ssl http2 spdy;

 

        #hsts enable

        #add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

 

        #ssl                         on;

        ssl_certificate /data/config/cert/fu_all.crt;

        ssl_certificate_key /data/config/cert/fu_all.key;

 

        #ssl_dhparam    new_key/fu_dh2048.pem;

 

        # self define

ssl_prefer_server_ciphers   on;

        ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;

 

        ssl_protocols            SSLv3 TLSv1 TLSv1.1 TLSv1.2;

 

        ssl_session_cache           shared:SSL:20m;

        ssl_session_timeout         10m;

        ssl_session_tickets on;

        ssl_session_ticket_key /data/config/cert/fu_ticket.key;

 

        #oscp stapling

        #ssl_stapling                on;

        #ssl_stapling_verify         on;

        #ssl_stapling_file /data/config/cert/fu_stapling.ocsp;

        #ssl_trusted_certificate /data/config/cert/fu_trust.crt;

 

        spdy_headers_comp           9;

 

③、開通443端口:

        如做了NAT的,需要開放對應的端口,像阿里、騰訊雲的都有這些配置

 

④、檢查HTTPS問題:

        使用下面的網站進行檢查SSL配置:

https://www.ssllabs.com/ssltest/index.html

 

七、正式上線HTTPS:

 

這里一般會出現兩種情況:

①、二級域名全站上線HTTPS:

1)、修改nginx配置(先備份文件),包括:

(1)、http全部跳轉https(return效率高於rewrite):

return 301 https://www.perofu.com$request_uri; 

(2)、對已有的rewrite規則,且是permanent的,將http修改為https:

sed -n '/permanent/ s#http:#https:#gp' nginx.conf

sed -i '/permanent/ s#http:#https:#g' nginx.conf

 

②、部分規則不使用HTTPS(性能有所降低,且規則越多,性能越低):

例如:

    1)、后台沒有完全正常HTTPS,強行跳轉,會出現格式問題

    2)、內網ip調用,不需要使用HTTPS

    3)、只針對GET請求,進行跳轉

 

set $flag 0;

if ($scheme !~ "https"){ set $flag "${flag}1";}

if ($request_method = "GET" ){ set $flag "${flag}2";}

if ($remote_addr !~ 192.168.*|8.8.8.8){ set $flag "${flag}3";}

if ($request_uri !~ ^(/admin/|/js/|/css/) ){ set $flag "${flag}4";}

if ($flag = "01234") {rewrite (.*) https://$host$1 permanent;}

 

八、https的CDN加速:

 

    建議廠商:保持用戶請求方式,否則會導致301跳轉死循環。

 

https://my.oschina.net/fufangchun/blog/844495


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM