阿里雲免費Https證書申請使用

JulySong發表於2018-07-11

超文字傳輸安全協議(英語:Hypertext Transfer Protocol Secure,縮寫:HTTPS,常稱為HTTP over TLS,HTTP over SSL或HTTP Secure)是一種透過計算機網路進行安全通訊的傳輸協議。HTTPS經由HTTP進行通訊,但利用SSL/TLS來加密資料包。HTTPS開發的主要目的,是提供對網站伺服器的身份認證,保護交換資料的隱私與完整性。這個協議由網景公司(Netscape)在1994年首次提出,隨後擴充套件到網際網路上。本文主要介紹如何申請免費的https證書, 以及使用。

1. Why?(為什麼要使用?)

傳統的 HTTP 模式,存在著大量的灰色中間環節,相關資訊很容易被竊取,但 HTTPS 卻是通過認證使用者與伺服器,將資料準確地傳送到客戶機與伺服器,並採用加密方式以防資料中途被盜取,大大降低了第三方竊取資訊、篡改冒充身份的風險.

2. What?(優缺點各是什麼?)

優點:

安全方面

1、使用 HTTPS 協議可認證使用者和伺服器,確保資料傳送到正確的客戶機和伺服器;

2、HTTPS 協議是由 SSL+HTTP 協議構建的可進行加密傳輸、身份認證的網路協議,要比 http 協議安全,可防止資料在傳輸過程中不被竊取、改變,確保資料的完整性。

3、HTTPS 是現行架構下最安全的解決方案,雖然不是絕對安全,但它大幅增加了中間人攻擊的成本。

缺點:

技術方面

1、相同網路環境下,HTTPS 協議會使頁面的載入時間延長近 50%,增加 10%到 20%的耗電。此外,HTTPS 協議還會影響快取,增加資料開銷和功耗。

2、HTTPS 協議的安全是有範圍的,在黑客攻擊、拒絕服務攻擊、伺服器劫持等方面幾乎起不到什麼作用。

3、最關鍵的,SSL 證書的信用鏈體系並不安全。特別是在某些國家可以控制 CA 根證書的情況下,中間人攻擊一樣可行。

成本方面

1、SSL 的專業證書需要購買,功能越強大的證書費用越高。個人網站、小網站可以選擇入門級免費證書。

2、SSL 證書通常需要繫結 固定 IP,為伺服器增加固定 IP 會增加一定費用。

3、HTTPS 連線伺服器端資源佔用高較高多,相同負載下會增加頻寬和伺服器投入成本。

以上主要參考該文章(傳送門), 此處不做多說, 想了解的可以去參考.

3. How?(怎麼做?)

以下的前提建立於你已有阿里雲伺服器.

1. 找到證書服務

首先點選"產品與服務", 輸入"證書", 選擇"安全(雲盾)"下的"SSL 證書(應用安全)", 如下圖所示

阿里雲免費Https證書申請使用

2. 購買證書

點選右側按鈕"購買證書", 跳轉新頁面

阿里雲免費Https證書申請使用
此時跳轉新頁面, 可以看到價格不菲的證書
阿里雲免費Https證書申請使用
此時點選第四個 tab"Symantec"
阿里雲免費Https證書申請使用
不需要被更加昂貴的價格嚇到, 此時在證書型別裡面選擇"增強型 OV SSL"時, 會看到奇蹟
阿里雲免費Https證書申請使用
是的, 你沒看錯, 免費的出現了. 此時, 按照正常流程進行購買.

免費證書的有幾個缺點:

  1. 年限短(1 年), 也就是說, 明年你需要繼續購買
  2. 不能使用萬用字元, 也就是說, 如果你有多個域名(子域名, 例如: a.test.com, test.com, b.c.test.com), 那麼, 相應的如果你需要就要購買多個.

根據需要, 選擇相應數量的證書, 然後去購買

阿里雲免費Https證書申請使用
支付流程走完之後, 跳轉證書控制檯, 我們可以看到購買成功的幾個證書, 此時點選"補全", 進行資訊完善
阿里雲免費Https證書申請使用
此後流程非常簡單, 首先錄入需要 https 的域名, 然後填寫個人資料. 最後點選提交稽核. 返回證書列表之後, 我們可以看到正在稽核中的證書
阿里雲免費Https證書申請使用
點選"進度"進入詳情.
阿里雲免費Https證書申請使用
此時看到"主機記錄"和"記錄值" 主機記錄這裡, 不清楚前面為什麼有一個_dnsauth. , 後面的 a 其實就是我剛才隨便寫的一個二級域名(a.lizi.com) 複製記錄值, 進入左側選單"域名與網站(萬網)"下面的"雲解析(DNS)"

選擇"解析設定"

阿里雲免費Https證書申請使用
記錄型別選擇"TXT", 然後依次輸入"主機記錄", 也就是你的二級域名, 然後在"記錄值"中填入剛剛複製的值
阿里雲免費Https證書申請使用
. 此時點選"確定", 等到稽核即可, 稽核的速度還是很快的.
阿里雲免費Https證書申請使用
成功之後, 即可點選"下載" 根據伺服器的不同, 選擇不同的下載方式
阿里雲免費Https證書申請使用
因為我是 Nginx, 所以選擇第一個. 接下來存放證書, 以及 nginx 的配置資訊都有給出, 如果不明白的, 還可以看下面的視訊. 需要注意的是, 一定要替換

ssl_certificate   cert/214824738550150.pem;
ssl_certificate_key  cert/214824738550150.key;
複製程式碼

這兩個檔案的名字, 我比較了一下, 配置資訊中這串碼和下載之後的檔案中名字非常"相似", 但是不一樣, 之前曾經因為這個地方查了很久.最後發現居然是名字不一樣. nginx reload 之後, 使用 https:// +你的域名, 即可訪問你的網站了. 如果看到網頁上的 https 不是綠色的, 則說明你的網站中含有 http 的請求, 需要更改替換. 但是不滿足於此, 此時的網站同時支援 http 和 https, 我不想讓人以 http 方式請求我的網站. 此時需要在 nginx 的配置檔案中加上如下配置, 完整資訊如下

http {

  ...
  ...
  ...

  server {

    ...
    ...
    ...

    if ($server_port = 80){
      return 301 https://$server_name$request_uri;
    }
    if ($scheme = http){
      return 301 https://$server_name$request_uri;
    }
  }

  ...
  ...
  ...

}
複製程式碼

想要了解這兩個 if 的含義, 可以另外自行查閱資料.

原部落格地址: blog.julysong.com/2018/07/08/…

相關文章