前言
現在谷歌等廠商大力推行https協議,如果你的網站不支持https,在使用谷歌瀏覽器時,會被警告網站不安全。w(゚Д゚)w,不安全?哪里不安全了?OK,那我改成支持https好吧。關於http怎么不安全,https又怎么安全了,下篇文章再討論。
一 申請證書
申請阿里雲免費SSL證書
首先,我們需要去購買一個SSL證書。目前阿里雲上有免費證書購買,有效期一年。
依次點擊完成申請,審核過后即可在控制台的SSL證書頁面看到自己的證書了。
選擇需要使用的服務器類型。
二 安裝證書到服務器
2.1 Tomcat服務器
如上圖所示,點擊對應服務器類型的幫助按鈕可以查看Tomcat7的證書安裝方法,但是我使用的是Tomcat8,踩了一些坑,在這里額外說一下。
- 在Server.xml中可以找到有兩個Connector 端口為8843的注釋, 一種是使用Http11NioProtocol 另一種是Http11AprProtocol , 根據注釋我們使用第一種。
- keystoreFile文件路徑的配置,如果按照說明里面的配置,提示找不到文件。因此可以配置了絕對地址:/etc/apache-tomcat-8.5.15/cert/xxxx.pfx。
- tomcat8 配置ssl的方式是有所改變的,多了SSLHostConfig、Certificate標簽,因此百度上的配置大部分都是不適用的,tomcat啟動是會報錯。這里附上官網文檔,感興趣可以自行查看:https://tomcat.apache.org/tomcat-8.5-doc/config/http.html。
基本配置完成后如下:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true">
<SSLHostConfig>
<Certificate certificateKeystoreFile="D:/apache-tomcat-8.5.15/cert/xxx.pfx"
certificateKeystoreType="PKCS12" certificateKeystorePassword="填寫密碼" />
</SSLHostConfig>
</Connector>
2.2 Nginx代理
最近我給自己的服務器添加了Nginx代理,所以學習了下Nginx配置Https。如果使用了Nginx來作為網站入口,那么Tomcat就不必配置SSL證書了。直接配置Nginx的SSL證書即可。
修改Nginx配置文件nginx.conf,將原本的http配置全刪掉,直接改成重定向到https即可。(除非你想要http和https都支持)
如下:
server {
listen 80;
server_name erictao2.com www.erictao2.com;
rewrite ^ https://$http_host$request_uri? permanent;
}
添加一段配置rewrite ^ https://$http_host$request_uri? permanent;即可重定向到https。
然后再新增一個server配置:
server {
listen 443 ssl;
server_name erictao2.com www.erictao2.com;
ssl_certificate /etc/nginx/cert/1157188_erictao2.com.pem;
ssl_certificate_key /etc/nginx/cert/1157188_erictao2.com.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
if ($host != 'www.erictao2.com'){
rewrite ^/(.*)$ www.erictao2.com/$1 permanent;
}
location / {
root html;
index index.html index.htm;
proxy_pass http://127.0.0.1:8080/;
}
}
將其中的ssl_certificate和ssl_certificate_key改成自己對應的文件即可。然后重載Nginx配置,輸入命令nginx -s reload。
完成以上步驟后,再次訪問自己的網站就能看到url上多了https,谷歌瀏覽器也承認你的網站是安全網站了。