從2017年起,蘋果ios以及微信小程序都陸續要求請求連接request地址是使用HTTPS協議的。所以在項目開發階段就要考慮解決https的問題,同時這也是為項目實際安全所考慮。最近我也是在折騰項目的https認證,學習到了很多,就寫一下實際操作中遇到的問題和要注意的一些地方。
名詞解釋
https:http超文本傳輸協議是使用明文傳輸的,而https則為http+TLS/SSL,是具有一定安全性的加密傳輸協議。http使用80端口,而https使用443端口。
SSL:安全套接字層,位於TCP/IP與其他應用層協議之間,確保web服務器和瀏覽器之間信息傳輸的安全性。根據審核的嚴格程度分為DV SSL、OV SSL、EV SSL。而本文講的就是DV SSL證書的申請和驗證。
A記錄和CNAME:A記錄就是指定IP地址與域名的映射關系,而CNAME則是別名記錄,他可以允許為IP地址設置別名,使其同時對應多個域名。
CDN:內容分發網絡,傳統訪問方式是通過域名訪問解析IP地址,獲取網站資源,而這樣的訪問方式面對大量同時訪問的情況,資源獲取速度會變慢。而CDN則是通過將一條指定的CNAME記錄解析到CDN服務器的IP地址,再由CDN緩存服務器通過DNS解析獲取到源站的IP地址,進而使服務器回顯客戶端請求。CDN緩存服務器會先緩存網站靜態資源,並將其分發到多個網絡節點上,這樣可以在大量訪問時緩解服務器壓力,可以使用戶在較短時間內獲取到網站資源。
加速域名:是指你要進行CDN加速的一條CNAME別名記錄。
源站域名:是指你的服務器資源所在域名,也就是A記錄對應的域名,他與加速域名不能相同,因為CNAME對應A記錄域名,那么就是指定加速域名訪問源站,那么CDN就沒有起到作用了。
申請SSL證書並驗證
首先注冊七牛雲並先實名認證,七牛雲支持通過支付寶實名認證,所以還算快。
有了賬號以后,就可以在主頁點擊進入SSL證書服務頁面。
點擊購買證書里面就有免費的DV證書可以申請了,而申請過之后,首先需要在證書管理頁面進行信息的補全。補全之后訂單狀態會改為待確認狀態,這里不是要等七牛雲確認,而是要手動驗證該域名是否為你所有。
下面為補全信息頁面
訂單狀態改為待確認,點擊右側的詳情頁面可以獲取到TXT記錄值,根據教程進行驗證
這里有一點要注意,那就是域名所有權的驗證方式的選擇。因為DV證書認證簡單,只需要驗證源站域名為申請人所有就可以。這里七牛雲提供了兩種驗證方式,一個是DNS驗證,一個是文件驗證。
官網給出了兩種驗證方法的教程:https://developer.qiniu.com/ssl/manual/3667/ssl-certificate-of-free-dns-validation-guide
值得注意的是,文件驗證方法中待驗證域名一定要是源站域名,不然無法訪問驗證txt文件會導致驗證不成功。驗證成功后就可以等待官網簽發證書了,一般是在一個工作日以內就可以簽發下來。
CDN域名加速設置
七牛雲提供了另外一個服務那就是CDN融合加速。想要使用這個功能就需要先給自己的賬戶充至少10元錢,保證賬戶余額在10元以上才可以新建加速域名。
1.加速域名那一欄需要填寫你要指定的CNAME。
2.有了ssl證書之后,就可以在通信協議欄選擇HTTPS協議並指定要使用的證書,就是剛剛申請簽發的證書了。
3.回源HOST是指CDN服務器通過DNS解析訪問資源的目的地,所以最好使用源站域名,后面的域名測試也是測試回源HOST訪問資源而不是源站域名。
4.源站域名填寫A記錄域名,然后在源站測試欄填寫一個你網站靜態資源的URL(比如URL),而源站測試也是為了測試CDN緩沖服務器是否可以通過回源HOST訪問到想要緩存的靜態資源。這里使用js,css,png、jpg文件都是可以的。
5.最后確認就可以使用CDN域名加速服務了,最后需要在域名服務商哪里更改CNAME配置,具體教程如下 https://developer.qiniu.com/fusion/kb/1322/how-to-configure-cname-domain-name
