HTTPS簡介
HTTPS(Hyper Text Transfer Protocol Over Secure Socket Layer)是以安全為目標的HTTP通道。簡單來說,通過HTTP協議訪問的網站,在登陸和數據傳輸過程中所有信息都是沒有加密的,黑客很容易就能獲取用戶訪問網站的所有信息。而HTTPS則通過SSL/TLS協議進行加密,來提高網絡安全性,即使傳輸信息被黑客捕捉到,一般來說也很難解析其中的內容。
在通過傳統的HTTP方式訪問網站時,用戶通過瀏覽器(或者其他客戶端)訪問服務器,服務器直接返回需要的信息。而在HTTPS方式通訊時,用戶信息則需要經過認證服務器來保證加密過得數據被傳輸到正確的服務器和客戶機上。HTTPS需要的認證服務器和加密證書可以由自己頒布給自己,但一般除了局域網和測試目的外,自己頒發的證書往往缺乏權威性,因此,要實現HTTPS方式,首先需要從可以頒發CA證書的權威機構申請證書并且部署在自己網站上。
大部分CA證書都需要付費并且價格不菲,但也有一些可以提供免費證書并且具有同樣權威性的機構。最著名的免費CA證書頒發機構要數Let's Encrypt,而阿里云提為個人和小微企業提供免費版的DV證書,阿里提供的DV證書是賽門鐵克(Symantec)頒布的,作為昔日殺毒軟件巨頭的賽門鐵克,其認證證書同樣具有權威性。
證書申請與生成
以阿里云CA證書申請流程為例。購買完CA證書之后,可以在阿里云的SSL證書管理頁面進行證書申請。申請完的證書將會和相應的域名綁定并配套使用。除了域名之外,申請時還需要輸入聯系人的聯系電話、郵箱等信息,并且選擇DNS驗證和證書生成的方式。如果你的域名也是在阿里云平臺購買的,則可以通過自動驗證DNS的方式完成,否則可能需要按照要求添加域名的解析地址(按照系統要求添加一條域名解析記錄,或者上傳指定內容的文件到網站目錄下)。選擇CSR證書生成方式的時候,可以采用阿里云系統自動生成的方式以減少錯誤。除了免費的DV證書外,其他證書的申請還需要提供營業執照等等阿里云平臺要求的材料。
SSL證書部署
阿里云證書部署文檔中針對不同操作系統下不同網絡引擎的安裝和部署進行了詳細說明。在ubuntu下使用Apache2服務器時。需要在證書生成界面選擇相應的操作系統和軟件類型,并且下載對應的證書文件,使用apache2服務器時下載后的文件分為domain.key秘鑰文件,domain_public.crt公鑰文件和domain_chain.crt秘鑰鏈文件三個(Nginx沒有秘鑰鏈文件)。如果是下載在本地計算機上而服務器是通過ssh方式命令行管理的。那么可能需要將下載到的文件復制到服務器上。可以通過以下scp命令拷貝到遠程目錄下,再參考官方文檔建立對應的目錄并移動到相關目錄下:
scp -P portnumber domain_public.crt admin@domain.com:~/ #遠程復制
sudo mkdir /etc/apache2/cert #新建文件夾
sudo mv ~/domain_public.crt /etc/apache2/cert/domain_public.crt #移動文件
sudo a2enmod ssl #啟用apache2的ssl模塊
sudo ls /etc/apache2/sites-available/ #查看目錄下生成的default-ssl.conf文件
sudo cp /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-enabled/default-ssl.conf
#也可以在sites-available下修改后通過軟連接到sites-enabled中
sudo ln -s /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-enabled/default-ssl.conf
編輯default-ssl.conf文件
<IfModules mod_ssl.c>
<VirtualHost *:443>
ServerName #修改為證書綁定的域名www.YourDomainName.com
SSLCertificateFile /etc/apache2/cert/www.YourDomainName_public.crt
SSLCertificateKeyFile /etc/apache2/cert/www.YourDomainName.com.key
SSLCertificateChainFile /etc/apache2/cert/www.YourDomainName.com_chain.crt
重載apache2配置文件并重啟服務。
sudo /etc/init.d/apache2 force-reload
sudo /etc/init.d/apache2 restart
服務重啟后,可以在瀏覽器中輸入https://www.domainname.com 驗證證書安裝結果,如果瀏覽器標識欄顯示綠色小鎖標識,說明證書安裝成功。以wordPress/ target=_blank class=infotextkey>WordPress博客服務為例,可以進行網站設置,并設置ssl強制跳轉以保障網絡安全。
設置wordpress安全域名并且強制跳轉安全網站
在進行wordpress域名設置前,需要先確認網站可以同時通過http或者https兩種方式訪問。以免修改后網站無法訪問。網站可以顯示時,可以在wordpress儀表盤的設置選項中,將原有http修改為https。修改完成后,wordpress可以自動修改相應設置,以便網站可以通過https方式訪問。
針對http不安全的訪問方式,可以在網站設置中將其強行跳轉到https方式下訪問以保證安全。
在sites-enabled/000-default.conf (如果網站用的其他配置文件應該做相應修改)。在<VirtualHost *:80>和</VirtualHost>之間添加以下三行,來強制將網站跳轉到https下,并重啟apache2服務。
RewriteEngine on
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^(.*)$ https://%{SERVER_NAME}$1 [L,R]
防火墻與SSL證書期限
https協議默認使用443端口,如果ubuntu系統中啟用了防火墻,需要開啟該端口。在ubuntu系統中,一般通過ufw防火墻軟件管理網絡。
sudo apt-get install ufw #安裝防火墻
sudo ufw status #查看防火墻
sudo ufw allow 22 #允許22端口,不限制協議
sudo ufw allow 80 /tcp #允許80端口通過tcp協議
sudo ufw enable #啟用防火墻,注意,如果服務器是遠程通過ssh管理
#一定要在啟用防火墻前允許ssh管理端口如22訪問,否則可能ssh無法遠程登錄
sudo ufw disable #禁用防火墻
阿里云的免費DV證書和let's encrypt證書默認期限均為一年,在證書到期前需要再次申請并部署證書以保證網站正常訪問。
