文档章节

从http切换到https

Sorin_Su
 Sorin_Su
发布于 2017/07/20 21:42
字数 1618
阅读 100
收藏 5

前言:

1、https协议需要到ca申请证书,一般免费证书很少,需要交费。

2、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。

3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。

4、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。

目前大部分网站都在往https上转,Chrome也将https作为浏览器的默认连接,如果网站没采用https的话,就会出现!的标识。

一、关于https证书:

目前主流的SSL证书主要分为DV SSL 、 OV SSL 、EV SSL。

1、DV SSL:

DV SSL证书是只验证网站域名所有权的简易型(Class 1级)SSL证书,可10分钟快速颁发,能起到加密传输的作用,但无法向用户证明网站的真实身份。

目前市面上的免费证书都是这个类型的,只是提供了对数据的加密,但是对提供证书的个人和机构的身份不做验证。

2、OV SSL:

OV SSL,提供加密功能,对申请者做严格的身份审核验证,提供可信身份证明。和DV SSL的区别在于,OV SSL 提供了对个人或者机构的审核,能确认对方的身份,安全性更高。

所以这部分的证书申请是收费的~

3、EV SSL:

超安=EV=最安全、最严格 超安EV SSL证书遵循全球统一的严格身份验证标准,是目前业界安全级别最高的顶级 (Class 4级)SSL证书。

金融证券、银行、第三方支付、网上商城等,重点强调网站安全、企业可信形象的网站,涉及交易支付、客户隐私信息和账号密码的传输。

这部分的验证要求最高,申请费用也是最贵的。

DV和OV证书最大的差别是:

1)、DV型证书不包含企业名称信息;而OV型证书包含企业名称信息。

2)、OV型证书会在证书的Subject中显示域名+单位名称等信息;DV型证书只会在证书的Subject中显示域名。

OV型和EV型证书的区别是:

都包含了企业名称等信息,但EV证书因为其采用了更加严格的认证标准,浏览器对EV证书更加“信任”,当浏览器访问到EV证书时,可以在地址栏显示出公司名称,并将地址栏变成绿色。

二、https证书申请:

1)、登录阿里云官网,进入控制台,安全(云盾)栏目下打开证书服务,然后点击购买证书,此处我选择“免费型DV SSL”购买。

2)、成功后再证书服务首页补全当前证书信息即可

输入图片说明

3)、在证书审核通过后,点击“下载”,在此页面阿里云有详细的FAQ配置说明,照此步骤操作即可

成功之后,阿里云域名解析处添加了一条TXT类型 输入图片说明

三、Nginx配置SSL:

1)、首先确保机器上安装了openssl和openssl-devel

yum install openssl

yum install openssl-devel

2)、./configure --prefix=/dyyl/java/nginx --with-http_ssl_module

输入图片说明

注意一定要确认nginx已经加载了OpenSSL模块再make,若出现“OpenSSL library is not used”请添加http_ssl_module路径

3)、配置强制使用https请求:

到此,在浏览器上手动输入https://XXX已经可以正常访问

输入图片说明

但是如果不显示指定https访问,还是会默认走80端口,我们需要将nginx的80端口重定向到443

server {
        listen       80;
        server_name  localhost;
        if ($scheme = http ) { 
            return 301 https://$host$request_uri; 
        }   
        
        location / {
            root   html/finance-web;
            index  index.html index.htm;
       }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    }

四、项目中http更改:

浏览器默认是不允许在 https 里面引用 http 资源的,会报出mixed content错误,有一种解决方案是将html页面加上

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

意思是将该页面的http请求强制更改为https

最后贴一下我的nginx.conf配置:

http {
    include       mime.types;
    default_type  application/octet-stream;

    #文件上传大小限制,20M
    client_max_body_size 20m;
    #access_log  logs/access.log  main;
    sendfile        on;
    keepalive_timeout  65;

    # 80 端口,将所有请求转发至ssl
    server {
        listen       80;
        server_name  localhost;
        rewrite ^(.*)$ https://$host$1 permanent;    

        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    }

    # 主站负载均衡,如需横向扩展,添加一个server即可
    upstream myServer {
        ip_hash;
        server 101.201.101.224:8080;
    }

    # HTTPS server start
    # 金融前台请求转发
    server {
        listen       443;
        server_name  jr.xxx.com;

        ssl on;

        ssl_certificate   /dyyl/java/nginx/conf/cert/jr/214202510950206.pem;
        ssl_certificate_key  /dyyl/java/nginx/conf/cert/jr/214202510950206.key;
        ssl_session_timeout 30m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

        location / {
            root   html/finance-web;
            index  index.html index.htm;
        }
    }

    # 商城前台请求转发
    server {
        listen       443;
        server_name  shop.xxx.com;

        ssl on;

        ssl_certificate   /dyyl/java/nginx/conf/cert/shop/214202510940206.pem;
        ssl_certificate_key  /dyyl/java/nginx/conf/cert/shop/214202510940206.key;
        ssl_session_timeout 30m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

        location / {
            root   html/client-shop;
            index  index.html index.htm;
        }
    }

    # 主站请求转发
    server {
        listen       443;
        server_name  www.xxx.com;

        ssl on;

        ssl_certificate   /dyyl/java/nginx/conf/cert/www/214202510960206.pem;
        ssl_certificate_key  /dyyl/java/nginx/conf/cert/www/214202510960206.key;
        ssl_session_timeout 30m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

        location / {
            proxy_set_header Host www.jucaibuy.com;
            proxy_set_header X-Real-IP  $remote_addr;  
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;  
            proxy_set_header X-Forwarded-Proto  $scheme; 
            proxy_pass   http://myServer;
        }
    }

    # 用户系统请求转发
    server {
        listen       443;
        server_name  passport.xxx.com;

        ssl on;

        ssl_certificate   /dyyl/java/nginx/conf/cert/passport/214202510930206.pem;
        ssl_certificate_key  /dyyl/java/nginx/conf/cert/passport/214202510930206.key;
        ssl_session_timeout 30m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

        location / {
            proxy_set_header       Host passport.jucaibuy.com;  
            proxy_set_header  X-Real-IP  $remote_addr;  
            proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;  
            proxy_set_header X-Forwarded-Proto  $scheme; 
            proxy_pass   http://101.201.101.224:8100/;
        }
    }

    # 商城后台项目请求转发
    server {
        listen       443;
        server_name  shopservice.xxx.com;

        ssl on;

        ssl_certificate   /dyyl/java/nginx/conf/cert/shopservice/214202510890206.pem;
        ssl_certificate_key  /dyyl/java/nginx/conf/cert/shopservice/214202510890206.key;
        ssl_session_timeout 30m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

        location / {
            proxy_set_header       Host shopservice.jucaibuy.com;  
            proxy_set_header  X-Real-IP  $remote_addr;  
            proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;  
            proxy_set_header X-Forwarded-Proto  $scheme; 
            proxy_pass   http://101.201.101.224:8110/;
        }
    }

    # 金融后台项目请求转发
    server {
        listen       443;
        server_name  jrservice.xxx.com;

        ssl on;

        ssl_certificate   /dyyl/java/nginx/conf/cert/jrservice/214202510870206.pem;
        ssl_certificate_key  /dyyl/java/nginx/conf/cert/jrservice/214202510870206.key;
        ssl_session_timeout 30m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

        location / {
            proxy_set_header       Host jrservice.jucaibuy.com;  
            proxy_set_header  X-Real-IP  $remote_addr;  
            proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;  
            proxy_set_header X-Forwarded-Proto  $scheme; 
            proxy_pass   http://101.201.101.224:8120/;
        }
    }

    # 后台项目请求转发
    server {
        listen       443;
        server_name  admin.xxx.com;

        ssl on;

        ssl_certificate   /dyyl/java/nginx/conf/cert/admin/214202510920206.pem;
        ssl_certificate_key  /dyyl/java/nginx/conf/cert/admin/214202510920206.key;
        ssl_session_timeout 30m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

        location / {
            proxy_set_header       Host admin.jucaibuy.com;  
            proxy_set_header  X-Real-IP  $remote_addr;  
            proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;  
            proxy_set_header X-Forwarded-Proto  $scheme; 
            proxy_pass   http://101.201.101.224:8090/;
        }
    }


© 著作权归作者所有

共有 人打赏支持
Sorin_Su
粉丝 10
博文 35
码字总数 19147
作品 0
朝阳
程序员
加载中

评论(1)

obhen
obhen
厉害厉害,大神甜味
浅谈推进有赞全站 HTTPS 项目-工程篇

HTTPS 在 HTTP 的基础上增加了 SSL/TLS 加密,提供了更加安全的传输协议。俨然已经属于各大网站的标配。有赞作为一个 SaaS 平台,涉及到用户的商品,交易,支付等关键性流程。支持全站 HTTP...

有赞技术
03/09
0
0
activity切换动画

Android 编程下设置 Activity 切换动画 探索安卓中有意义的动画! 安卓统一添加activity切换动画 Android 编程下设置 Activity 切换动画 实现Activity间的共享控件转场动画 Android的Activit...

addcn
2015/12/31
88
0
美到的web设计

Nusa records 清爽舒适的页面,赏心悦目的音乐web app Sliding Triple View Layout 文章间的切换很有新意,两边的阴影区域可以算是预览的效果,点击可以切换,上面的tab也可以切换,排版应该...

phala
2016/08/31
36
0
npm配置镜像、设置代理

配置镜像 by config command npm config set registry http://registry.cnpmjs.org npm info underscore (如果上面配置正确这个命令会有字符串response) 命令行指定 npm --registry http:......

爪哇小贩
2016/05/09
34
0
Node.js 环境配置记录

NRM https://github.com/Pana/nrm 在国内环境中使用 npm 可能会比较慢, 会需要切换到 cnpm 或者 taobao 的源 来提升效率 你可以通过以下方式切换数据源 config 命令 npm config set registr...

杯面柒
2015/12/03
38
0

没有更多内容

加载失败,请刷新页面

加载更多

CentOS 7.* 配置网络

配置静态IP 进入配置文件目录 cd /etc/sysconfig/network-scripts 查找以 ifcfg-eno 开头的文件并编辑它 vi ifcfg-ens32 修改文件中的变量值 BOOTPROTO=staticONBOOT=yesIPADDR=192.168...

阿白
55分钟前
1
0
深入理解OAuth2.0协议

1. 引言 如果你开车去酒店赴宴,你经常会苦于找不到停车位而耽误很多时间。是否有好办法可以避免这个问题呢?有的,听说有一些豪车的车主就不担心这个问题。豪车一般配备两种钥匙:主钥匙和泊...

xtof
59分钟前
1
0
Linux学习-0920

3.4 usermod命令 3.5 用户密码管理 3.6 mkpasswd命令 一、usermode命令 usermode作用是用来修改用户信息。 方法: usermod 参数 username 示例1:修改用户uid usermod -u 1010 test5 示例2...

wxy丶
今天
1
0
synchronized锁对象的坑

今天本来写点其他东西,碰巧写了一下synchronized,没想到掉坑里面了,大佬别笑。 起初代码大概是这样的: package com.ripplechan.part_1_2_3;import java.util.concurrent.CountDownL...

RippleChan
今天
1
0
XAMPP环境搭建(Apache + MariaDB + PHP + Perl)

operation system:ubuntu-18.04.1 step1:download XAMPP #sudo wget https://www.apachefriends.org/xampp-files/7.2.9/xampp-linux-x64-7.2.9-0-installer.run step2:install XAMPP #sudo ......

硅谷课堂
今天
1
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部