前言
現在谷歌等廠商大力推行https協議,如果你的網站不支援https,在使用谷歌瀏覽器時,會被警告網站不安全。w(゚Д゚)w,不安全?哪裡不安全了?OK,那我改成支援https好吧。關於http怎麼不安全,https又怎麼安全了,下篇文章再討論。
一 申請證書
申請阿里雲免費SSL證書
首先,我們需要去購買一個SSL證書。目前阿里雲上有免費證書購買,有效期一年。
依次點選完成申請,稽核過後即可在控制檯的SSL證書頁面看到自己的證書了。
選擇需要使用的伺服器型別。
二 安裝證書到伺服器
2.1 Tomcat伺服器
如上圖所示,點選對應伺服器型別的幫助按鈕可以檢視Tomcat7的證書安裝方法,但是我使用的是Tomcat8,踩了一些坑,在這裡額外說一下。
- 在Server.xml中可以找到有兩個Connector 埠為8843的註釋, 一種是使用Http11NioProtocol 另一種是Http11AprProtocol , 根據註釋我們使用第一種。
- keystoreFile檔案路徑的配置,如果按照說明裡面的配置,提示找不到檔案。因此可以配置了絕對地址:/etc/apache-tomcat-8.5.15/cert/xxxx.pfx。
- tomcat8 配置ssl的方式是有所改變的,多了SSLHostConfig、Certificate標籤,因此百度上的配置大部分都是不適用的,tomcat啟動是會報錯。這裡附上官網文件,感興趣可以自行檢視:https://tomcat.apache.org/tomcat-8.5-doc/config/http.html。
基本配置完成後如下:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true">
<SSLHostConfig>
<Certificate certificateKeystoreFile="D:/apache-tomcat-8.5.15/cert/xxx.pfx"
certificateKeystoreType="PKCS12" certificateKeystorePassword="填寫密碼" />
</SSLHostConfig>
</Connector>2.2 Nginx代理
最近我給自己的伺服器新增了Nginx代理,所以學習了下Nginx配置Https。如果使用了Nginx來作為網站入口,那麼Tomcat就不必配置SSL證書了。直接配置Nginx的SSL證書即可。
修改Nginx配置檔案nginx.conf,將原本的http配置全刪掉,直接改成重定向到https即可。(除非你想要http和https都支援)
如下:
server {
listen 80;
server_name erictao2.com www.erictao2.com;
rewrite ^ https://$http_host$request_uri? permanent;
}新增一段配置rewrite ^ https://$http_host$request_uri? permanent;即可重定向到https。
然後再新增一個server配置:
server {
listen 443 ssl;
server_name erictao2.com www.erictao2.com;
ssl_certificate /etc/nginx/cert/1157188_erictao2.com.pem;
ssl_certificate_key /etc/nginx/cert/1157188_erictao2.com.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
if ($host != 'www.erictao2.com'){
rewrite ^/(.*)$ www.erictao2.com/$1 permanent;
}
location / {
root html;
index index.html index.htm;
proxy_pass http://127.0.0.1:8080/;
}
}將其中的ssl_certificate和ssl_certificate_key改成自己對應的檔案即可。然後過載Nginx配置,輸入命令nginx -s reload。
完成以上步驟後,再次訪問自己的網站就能看到url上多了https,谷歌瀏覽器也承認你的網站是安全網站了。