最近把公司的一些產品遷移到了.net core下,隨之而來了一個新的問題:在公網部署的環境下,如何在Kestrel的self host模式下部署Https。本文這里就簡單的介紹下.net Core Kestrel服務器下Https的部署方案。
申請證書:
證書申請一般是甲方或者工程實施人員干的事情,自己申請一個也是比較簡單的,我這里用的是freessl,國內的阿里,騰訊之類的也有自己的免費和收費的ssl證書服務。
Kestrel要求pfx格式的證書,如果申請到的是pem格式的證書,可以用openssl工具轉換一下,命令如下:
.\openssl pkcs12 -export -inkey tianfang.key -in tianfang.pem -out tianfang.pfx
自簽發證書:
如果嫌收費的證書貴,免費的證書有限制。也可以采用自己簽發證書的方式在開發環境上使用。自己簽發證書的方案較多,網上介紹的較多的方案是openssl簽發的方式。這種方式較為繁瑣。更為簡單的方式是使用.net core sdk自帶的dotnet dev-certs的方式簽發:
dotnet dev-certs https -ep <要保存證書路徑包括文件名>.pfx -p <證書密碼>
簽發完成后,可以使用下列命令信任改證書(只能用於本機)。
dotnet dev-certs https --trust
這種方式簽發證書比較簡單,對於開發這種客戶端較少的環境還算方便,但對於測試環境來說,要每個測試客戶端都信任自簽發的證書,還是比較麻煩。對於公司最好還是弄個收費證書省事些。
程序配置:
在asp.net core 3.0中,有兩種方案可以配置https證書:環境變量和代碼配置。
代碼配置:
asp.net core 3中對於Https的配置不再是全局配置了,而是作為kestrel配置的一部分了:
var x509ca = new X509Certificate2(File.ReadAllBytes(@"r:\tianfang.pfx"), "tianfang");
webBuilder.UseKestrel(option => option.ListenAnyIP(3000, config => config.UseHttps(x509ca)));
環境變量:
環境變量的方式是我更喜歡的方式,它無需修改程序,更加靈活,配置更簡單,只需要設置如下兩個環境變量即可:
-
ASPNETCORE_Kestrel__Certificates__Default__Password=證書密碼
-
ASPNETCORE_Kestrel__Certificates__Default__Path=HTTPS證書路徑
設置方式也非常多樣,系統配置,啟動環境配置,代碼配置都可以。
當然,除了ssl證書配置外,還是需要url中綁定https的url的。也是可以通過環境變量和代碼的方式,具體示例就不列舉了。
反向代理:
除了上面這種直接支持的方式外,另外也是可以通過iis和nginx反向代理的方式來間接支持的。將https的支持交給反向代理的服務器,我們的程序中只需要保持對http的支持即可。
小結:
我這里只介紹了最基本的https的支持方案,具體http到https的遷移是還有一些其它的過渡工作要做的,具體可參考下MSDN文章:在 ASP.NET Core 強制實施 HTTPS
參考文章: