文档章节

从http切换到https

Sorin_Su
 Sorin_Su
发布于 2017/07/20 21:42
字数 1618
阅读 111
收藏 5

前言:

1、https协议需要到ca申请证书,一般免费证书很少,需要交费。

2、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。

3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。

4、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。

目前大部分网站都在往https上转,Chrome也将https作为浏览器的默认连接,如果网站没采用https的话,就会出现!的标识。

一、关于https证书:

目前主流的SSL证书主要分为DV SSL 、 OV SSL 、EV SSL。

1、DV SSL:

DV SSL证书是只验证网站域名所有权的简易型(Class 1级)SSL证书,可10分钟快速颁发,能起到加密传输的作用,但无法向用户证明网站的真实身份。

目前市面上的免费证书都是这个类型的,只是提供了对数据的加密,但是对提供证书的个人和机构的身份不做验证。

2、OV SSL:

OV SSL,提供加密功能,对申请者做严格的身份审核验证,提供可信身份证明。和DV SSL的区别在于,OV SSL 提供了对个人或者机构的审核,能确认对方的身份,安全性更高。

所以这部分的证书申请是收费的~

3、EV SSL:

超安=EV=最安全、最严格 超安EV SSL证书遵循全球统一的严格身份验证标准,是目前业界安全级别最高的顶级 (Class 4级)SSL证书。

金融证券、银行、第三方支付、网上商城等,重点强调网站安全、企业可信形象的网站,涉及交易支付、客户隐私信息和账号密码的传输。

这部分的验证要求最高,申请费用也是最贵的。

DV和OV证书最大的差别是:

1)、DV型证书不包含企业名称信息;而OV型证书包含企业名称信息。

2)、OV型证书会在证书的Subject中显示域名+单位名称等信息;DV型证书只会在证书的Subject中显示域名。

OV型和EV型证书的区别是:

都包含了企业名称等信息,但EV证书因为其采用了更加严格的认证标准,浏览器对EV证书更加“信任”,当浏览器访问到EV证书时,可以在地址栏显示出公司名称,并将地址栏变成绿色。

二、https证书申请:

1)、登录阿里云官网,进入控制台,安全(云盾)栏目下打开证书服务,然后点击购买证书,此处我选择“免费型DV SSL”购买。

2)、成功后再证书服务首页补全当前证书信息即可

输入图片说明

3)、在证书审核通过后,点击“下载”,在此页面阿里云有详细的FAQ配置说明,照此步骤操作即可

成功之后,阿里云域名解析处添加了一条TXT类型 输入图片说明

三、Nginx配置SSL:

1)、首先确保机器上安装了openssl和openssl-devel

yum install openssl

yum install openssl-devel

2)、./configure --prefix=/dyyl/java/nginx --with-http_ssl_module

输入图片说明

注意一定要确认nginx已经加载了OpenSSL模块再make,若出现“OpenSSL library is not used”请添加http_ssl_module路径

3)、配置强制使用https请求:

到此,在浏览器上手动输入https://XXX已经可以正常访问

输入图片说明

但是如果不显示指定https访问,还是会默认走80端口,我们需要将nginx的80端口重定向到443

server {
        listen       80;
        server_name  localhost;
        if ($scheme = http ) { 
            return 301 https://$host$request_uri; 
        }   
        
        location / {
            root   html/finance-web;
            index  index.html index.htm;
       }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    }

四、项目中http更改:

浏览器默认是不允许在 https 里面引用 http 资源的,会报出mixed content错误,有一种解决方案是将html页面加上

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

意思是将该页面的http请求强制更改为https

最后贴一下我的nginx.conf配置:

http {
    include       mime.types;
    default_type  application/octet-stream;

    #文件上传大小限制,20M
    client_max_body_size 20m;
    #access_log  logs/access.log  main;
    sendfile        on;
    keepalive_timeout  65;

    # 80 端口,将所有请求转发至ssl
    server {
        listen       80;
        server_name  localhost;
        rewrite ^(.*)$ https://$host$1 permanent;    

        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    }

    # 主站负载均衡,如需横向扩展,添加一个server即可
    upstream myServer {
        ip_hash;
        server 101.201.101.224:8080;
    }

    # HTTPS server start
    # 金融前台请求转发
    server {
        listen       443;
        server_name  jr.xxx.com;

        ssl on;

        ssl_certificate   /dyyl/java/nginx/conf/cert/jr/214202510950206.pem;
        ssl_certificate_key  /dyyl/java/nginx/conf/cert/jr/214202510950206.key;
        ssl_session_timeout 30m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

        location / {
            root   html/finance-web;
            index  index.html index.htm;
        }
    }

    # 商城前台请求转发
    server {
        listen       443;
        server_name  shop.xxx.com;

        ssl on;

        ssl_certificate   /dyyl/java/nginx/conf/cert/shop/214202510940206.pem;
        ssl_certificate_key  /dyyl/java/nginx/conf/cert/shop/214202510940206.key;
        ssl_session_timeout 30m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

        location / {
            root   html/client-shop;
            index  index.html index.htm;
        }
    }

    # 主站请求转发
    server {
        listen       443;
        server_name  www.xxx.com;

        ssl on;

        ssl_certificate   /dyyl/java/nginx/conf/cert/www/214202510960206.pem;
        ssl_certificate_key  /dyyl/java/nginx/conf/cert/www/214202510960206.key;
        ssl_session_timeout 30m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

        location / {
            proxy_set_header Host www.jucaibuy.com;
            proxy_set_header X-Real-IP  $remote_addr;  
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;  
            proxy_set_header X-Forwarded-Proto  $scheme; 
            proxy_pass   http://myServer;
        }
    }

    # 用户系统请求转发
    server {
        listen       443;
        server_name  passport.xxx.com;

        ssl on;

        ssl_certificate   /dyyl/java/nginx/conf/cert/passport/214202510930206.pem;
        ssl_certificate_key  /dyyl/java/nginx/conf/cert/passport/214202510930206.key;
        ssl_session_timeout 30m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

        location / {
            proxy_set_header       Host passport.jucaibuy.com;  
            proxy_set_header  X-Real-IP  $remote_addr;  
            proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;  
            proxy_set_header X-Forwarded-Proto  $scheme; 
            proxy_pass   http://101.201.101.224:8100/;
        }
    }

    # 商城后台项目请求转发
    server {
        listen       443;
        server_name  shopservice.xxx.com;

        ssl on;

        ssl_certificate   /dyyl/java/nginx/conf/cert/shopservice/214202510890206.pem;
        ssl_certificate_key  /dyyl/java/nginx/conf/cert/shopservice/214202510890206.key;
        ssl_session_timeout 30m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

        location / {
            proxy_set_header       Host shopservice.jucaibuy.com;  
            proxy_set_header  X-Real-IP  $remote_addr;  
            proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;  
            proxy_set_header X-Forwarded-Proto  $scheme; 
            proxy_pass   http://101.201.101.224:8110/;
        }
    }

    # 金融后台项目请求转发
    server {
        listen       443;
        server_name  jrservice.xxx.com;

        ssl on;

        ssl_certificate   /dyyl/java/nginx/conf/cert/jrservice/214202510870206.pem;
        ssl_certificate_key  /dyyl/java/nginx/conf/cert/jrservice/214202510870206.key;
        ssl_session_timeout 30m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

        location / {
            proxy_set_header       Host jrservice.jucaibuy.com;  
            proxy_set_header  X-Real-IP  $remote_addr;  
            proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;  
            proxy_set_header X-Forwarded-Proto  $scheme; 
            proxy_pass   http://101.201.101.224:8120/;
        }
    }

    # 后台项目请求转发
    server {
        listen       443;
        server_name  admin.xxx.com;

        ssl on;

        ssl_certificate   /dyyl/java/nginx/conf/cert/admin/214202510920206.pem;
        ssl_certificate_key  /dyyl/java/nginx/conf/cert/admin/214202510920206.key;
        ssl_session_timeout 30m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;

        location / {
            proxy_set_header       Host admin.jucaibuy.com;  
            proxy_set_header  X-Real-IP  $remote_addr;  
            proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;  
            proxy_set_header X-Forwarded-Proto  $scheme; 
            proxy_pass   http://101.201.101.224:8090/;
        }
    }


© 著作权归作者所有

共有 人打赏支持
Sorin_Su
粉丝 10
博文 35
码字总数 19147
作品 0
朝阳
程序员
私信 提问
加载中

评论(1)

obhen
obhen
厉害厉害,大神甜味
浅谈推进有赞全站 HTTPS 项目-工程篇

HTTPS 在 HTTP 的基础上增加了 SSL/TLS 加密,提供了更加安全的传输协议。俨然已经属于各大网站的标配。有赞作为一个 SaaS 平台,涉及到用户的商品,交易,支付等关键性流程。支持全站 HTTP...

有赞技术
03/09
0
0
美到的web设计

Nusa records 清爽舒适的页面,赏心悦目的音乐web app Sliding Triple View Layout 文章间的切换很有新意,两边的阴影区域可以算是预览的效果,点击可以切换,上面的tab也可以切换,排版应该...

phala
2016/08/31
36
0
npm配置镜像、设置代理

配置镜像 by config command npm config set registry http://registry.cnpmjs.org npm info underscore (如果上面配置正确这个命令会有字符串response) 命令行指定 npm --registry http:......

爪哇小贩
2016/05/09
34
0
activity切换动画

Android 编程下设置 Activity 切换动画 探索安卓中有意义的动画! 安卓统一添加activity切换动画 Android 编程下设置 Activity 切换动画 实现Activity间的共享控件转场动画 Android的Activit...

addcn
2015/12/31
88
0
你的Node环境有问题?这篇文章可以帮到你!

nvm(Node版本管理工具,微软官方维护)安装 Windows操作系统的nvm下载地址:https://github.com/coreybutler/nvm-windows/releases 注意:之前安装过Node的先卸载。 安装过程 第一步 第二步 ...

peakedness丶
10/26
0
0

没有更多内容

加载失败,请刷新页面

加载更多

logback.xml 配置

需要引入 logback-core-1.1.2.jar <?xml version="1.0" encoding="UTF-8"?><configuration debug="false"> <!--定义日志文件的存储地址 勿在 LogBack 的配置中使用相对路径 --> ......

夜醒者
12分钟前
1
0
Java 11 已发布,String 还能这样玩!

在文章《Java 11 正式发布,这 8 个逆天新特性教你写出更牛逼的代码》中,我有介绍到 Java 11 的八个新特性,其中关于 String 加强部分,我觉得有点意思,这里单独再拉出来讲。 Java 11 增加...

Java技术栈
36分钟前
6
0
什么是以太坊DAO?(二)

Decentralized Autonomous Organization,简称DAO,以太坊中重要的概念。一般翻译为去中心化的自治组织。 在上一节中,我们为了展示什么是DAO创建了一个合约,就像一个采用邀请制的俱乐部,会...

geek12345
52分钟前
4
0
全屋WiFi彻底无死角 这才是终极解决方案

无线网络现在不仅在家庭中不可或缺,在酒店、医院、学校等场景中的需求也越来越多。尤其是这些场景中,房间多但也需要每个房间都能够完美覆盖WiFi,传统的吸顶式AP就无法很好的解决问题。 H3...

linux-tao
今天
6
0
Python日期字符串比较

需要用python的脚本来快速检测一个文件内的二个时间日期字符串的大小,其实实现很简单,首先一些基础的日期格式化知识如下 复制代码 %a星期的简写。如 星期三为Web %A星期的全写。如 星期三为...

dragon_tech
今天
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部