HTTPS上線過程說明（阿里雲提供免費證書）

一、上馬HTTPS的原因：

①、蘋果App Store強制其平台上的app均要使用HTTPS

②、網站經常被劫持，用戶和領導希望使用HTTPS

③、跟隨HTTPS的大趨勢

 

二、應用上馬HTTPS之部門工作：

①、運維：接入層部署支持HTTPS及后期上線配合

②、開發&QA：頁面元素加載，要跟隨訪問協議（src=”//www.perofu.com/test.jpg”）等等及測試

 

三、接入層支持HTTPS時機之重要性：

①、有一定規模應用的企業（即大量未部署HTTPS的應用及將要新增的應用），無論是否要上HTTPS。新應用的，請先在接入層（Nginx、Tenginx）的服務上，配置上支持HTTPS

【吐血經歷：就為了App Store上HTTPS，每個二級域名的接入層Nginx（電信聯通各2台）都進行了升級，工作雖然不繁瑣，但是量大，就很惡心了】

②、初創企業，一開始就配置支持HTTPS，並形成安裝范本，這樣大家都好過

 

【接入層服務支持HTTPS，應該從現在開始】

【運維和開發，最怕的就是歷史遺留問題】

 

四、SSL證書：

①、購買主流廠商的SSL證書：

簡單點的，查看下國內一些公司網站的證書廠商，根據價錢，進行選擇

淘寶：GlobalSign nv-sa

360：WoSign

②、申請免費的SSL證書：阿里雲

 

五、前期https准備：

①、Nginx和openssl的版本選擇，並對https進行測試，nginx的https配置和優化的最佳配置【困難】

②、對比http和https的性能情況（基調任務監控）

 

六、接入層支持HTTPS：

 

①、安裝命令：

        Nginx安裝參數，僅針對HTTPS的，依據情況添加

①、安裝openssl：

tar -axf openssl-1.0.2e.tar.gz && cd openssl-1.0.2e

./config --prefix=/usr enable-shared

make

make install

 

②、安裝nginx（Tengine/2.1.2）：

./configure --prefix=/data/PRG/tengine_perofu-www --with-pcre=../pcre-8.32/ --add-module=../ngx_cache_purge-2.0 --with-http_concat_module --with-http_spdy_module --with-http_v2_module

make

make install

 

②、SSL配置：

 

        listen       443 ssl http2 spdy;

 

        #hsts enable

        #add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

 

        #ssl                         on;

        ssl_certificate /data/config/cert/fu_all.crt;

        ssl_certificate_key /data/config/cert/fu_all.key;

 

        #ssl_dhparam    new_key/fu_dh2048.pem;

 

        # self define

ssl_prefer_server_ciphers   on;

        ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;

 

        ssl_protocols            SSLv3 TLSv1 TLSv1.1 TLSv1.2;

 

        ssl_session_cache           shared:SSL:20m;

        ssl_session_timeout         10m;

        ssl_session_tickets on;

        ssl_session_ticket_key /data/config/cert/fu_ticket.key;

 

        #oscp stapling

        #ssl_stapling                on;

        #ssl_stapling_verify         on;

        #ssl_stapling_file /data/config/cert/fu_stapling.ocsp;

        #ssl_trusted_certificate /data/config/cert/fu_trust.crt;

 

        spdy_headers_comp           9;

 

③、開通443端口：

        如做了NAT的，需要開放對應的端口，像阿里、騰訊雲的都有這些配置

 

④、檢查HTTPS問題：

        使用下面的網站進行檢查SSL配置：

https://www.ssllabs.com/ssltest/index.html

 

七、正式上線HTTPS：

 

這里一般會出現兩種情況：

①、二級域名全站上線HTTPS：

1）、修改nginx配置（先備份文件），包括：

（1）、http全部跳轉https（return效率高於rewrite）：

return 301 https://www.perofu.com$request_uri; 

（2）、對已有的rewrite規則，且是permanent的，將http修改為https：

sed -n '/permanent/ s#http:#https:#gp' nginx.conf

sed -i '/permanent/ s#http:#https:#g' nginx.conf

 

②、部分規則不使用HTTPS（性能有所降低，且規則越多，性能越低）：

例如：

    1）、后台沒有完全正常HTTPS，強行跳轉，會出現格式問題

    2）、內網ip調用，不需要使用HTTPS

    3）、只針對GET請求，進行跳轉

 

set $flag 0;

if ($scheme !~ "https"){ set $flag "${flag}1";}

if ($request_method = "GET" ){ set $flag "${flag}2";}

if ($remote_addr !~ 192.168.*|8.8.8.8){ set $flag "${flag}3";}

if ($request_uri !~ ^(/admin/|/js/|/css/) ){ set $flag "${flag}4";}

if ($flag = "01234") {rewrite (.*) https://$host$1 permanent;}

 

八、https的CDN加速：

 

    建議廠商：保持用戶請求方式，否則會導致301跳轉死循環。

 

https://my.oschina.net/fufangchun/blog/844495