一、上馬HTTPS的原因:
①、蘋果App Store強制其平台上的app均要使用HTTPS
②、網站經常被劫持,用戶和領導希望使用HTTPS
③、跟隨HTTPS的大趨勢
二、應用上馬HTTPS之部門工作:
①、運維:接入層部署支持HTTPS及后期上線配合
②、開發&QA:頁面元素加載,要跟隨訪問協議(src=”//www.perofu.com/test.jpg”)等等及測試
三、接入層支持HTTPS時機之重要性:
①、有一定規模應用的企業(即大量未部署HTTPS的應用及將要新增的應用),無論是否要上HTTPS。新應用的,請先在接入層(Nginx、Tenginx)的服務上,配置上支持HTTPS
【吐血經歷:就為了App Store上HTTPS,每個二級域名的接入層Nginx(電信聯通各2台)都進行了升級,工作雖然不繁瑣,但是量大,就很惡心了】
②、初創企業,一開始就配置支持HTTPS,並形成安裝范本,這樣大家都好過
【接入層服務支持HTTPS,應該從現在開始】
【運維和開發,最怕的就是歷史遺留問題】
四、SSL證書:
①、購買主流廠商的SSL證書:
簡單點的,查看下國內一些公司網站的證書廠商,根據價錢,進行選擇
淘寶:GlobalSign nv-sa
360:WoSign
②、申請免費的SSL證書:阿里雲
五、前期https准備:
①、Nginx和openssl的版本選擇,並對https進行測試,nginx的https配置和優化的最佳配置【困難】
②、對比http和https的性能情況(基調任務監控)
六、接入層支持HTTPS:
①、安裝命令:
Nginx安裝參數,僅針對HTTPS的,依據情況添加
①、安裝openssl: tar -axf openssl-1.0.2e.tar.gz && cd openssl-1.0.2e ./config --prefix=/usr enable-shared make make install
②、安裝nginx(Tengine/2.1.2): ./configure --prefix=/data/PRG/tengine_perofu-www --with-pcre=../pcre-8.32/ --add-module=../ngx_cache_purge-2.0 --with-http_concat_module --with-http_spdy_module --with-http_v2_module make make install |
②、SSL配置:
listen 443 ssl http2 spdy;
#hsts enable #add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
#ssl on; ssl_certificate /data/config/cert/fu_all.crt; ssl_certificate_key /data/config/cert/fu_all.key;
#ssl_dhparam new_key/fu_dh2048.pem;
# self define ssl_prefer_server_ciphers on; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:20m; ssl_session_timeout 10m; ssl_session_tickets on; ssl_session_ticket_key /data/config/cert/fu_ticket.key;
#oscp stapling #ssl_stapling on; #ssl_stapling_verify on; #ssl_stapling_file /data/config/cert/fu_stapling.ocsp; #ssl_trusted_certificate /data/config/cert/fu_trust.crt;
spdy_headers_comp 9; |
③、開通443端口:
如做了NAT的,需要開放對應的端口,像阿里、騰訊雲的都有這些配置
④、檢查HTTPS問題:
使用下面的網站進行檢查SSL配置:
https://www.ssllabs.com/ssltest/index.html
七、正式上線HTTPS:
這里一般會出現兩種情況:
①、二級域名全站上線HTTPS:
1)、修改nginx配置(先備份文件),包括:
(1)、http全部跳轉https(return效率高於rewrite):
return 301 https://www.perofu.com$request_uri; |
(2)、對已有的rewrite規則,且是permanent的,將http修改為https:
sed -n '/permanent/ s#http:#https:#gp' nginx.conf sed -i '/permanent/ s#http:#https:#g' nginx.conf |
②、部分規則不使用HTTPS(性能有所降低,且規則越多,性能越低):
例如:
1)、后台沒有完全正常HTTPS,強行跳轉,會出現格式問題
2)、內網ip調用,不需要使用HTTPS
3)、只針對GET請求,進行跳轉
set $flag 0; if ($scheme !~ "https"){ set $flag "${flag}1";} if ($request_method = "GET" ){ set $flag "${flag}2";} if ($remote_addr !~ 192.168.*|8.8.8.8){ set $flag "${flag}3";} if ($request_uri !~ ^(/admin/|/js/|/css/) ){ set $flag "${flag}4";} if ($flag = "01234") {rewrite (.*) https://$host$1 permanent;} |
八、https的CDN加速:
建議廠商:保持用戶請求方式,否則會導致301跳轉死循環。
https://my.oschina.net/fufangchun/blog/844495