啟用 HTTPS

weixin_34194087發表於2017-01-13

背景

最近為了扛 DDoS 攻擊,從移動公司申請了一臺伺服器,移動公司免費提供流量清洗功能。但由於沒有備案,移動公司不允許開通 80 埠。

目標

為了儘快啟用這臺擔負著負載均衡和反向代理(其實沒有負載均衡)的伺服器,我計劃使用 https 協議,利用 443 埠從而避開 80 埠為客戶提供正常服務。同時通過使用 https 協議,使得網站訪問更加安全。

步驟

選擇證書頒發機構

有很多證書頒發機構,以前也使用過 StartSSL 的證書,但後來被中國的企業收購了,因此直接排除。當前免費又火的證書頒發機構當屬 Let's encrypt 了,因此本次我也採用該機構的證書。

設定正常的訪問規則和安全規則

  1. 設定應用伺服器;
  2. 設定反向代理伺服器;
  3. 設定域名解析;

設定應用伺服器

  • 將所有應用都配置好;
  • 通過 PM2 統一的配置檔案執行所有應用;
  • 應用伺服器防火牆開放 8000 ~ 8999 區間的埠;
  • 設定安全組。入方向只允許所有 IP 地址訪問 22 的 TCP 埠,以及反向代理伺服器的 IP 地址訪問 8000 ~ 8999 的 TCP 埠;出方向允許所有埠和協議;

設定反向代理伺服器

  • 在反向代理伺服器上配置所有應用伺服器應用的域名解析;

設定域名解析

  • 將所有域名解析都指向反向代理伺服器的 IP 地址;

配置 https 協議

參考資料

相關文章