昨天我们看到百度发布"百度烽火算法升级",提到网站如果被劫持或者拦截可能会降低网站的权重和排名等问题。这使得我们网站需要使用HTTPS SSL证书来减少被拦截劫持的风险。其实在早些时候我们已经看到很多浏览器都强制要求网站使用SSL证书,如果不使用的会被提示不安全网站URL。这次机遇百度文章发布之后,可以看到大家应该还在犹豫的话会新增SSL证书实现HTTPS访问。
目前,大部分网站都会采用的是NGINX、APACHE等WEB架构,所以我们只需要学习这两个架构技术就可以。这里我们需要注意的,SSL证书的安装分两种, 一种是我们服务器自带的一键安装免费SSL证书。比如let's encrypt证书是免费的。对于个人网站或者小型网站是可以使用的,而且大部分浏览器也是支持的。但是作为商业网站,我们总不能去使用免费证书吧。所以如果是购买第三方的付费证书,我们需要做的就是配置到服务器中。
在这篇文章中,笔者将会分享在常规的NGINX、APCHE中如何配置SSL证书。其实配置SSL证书不难的,只要我们认真看下过程就可以。如果我们个人网站可以使用免费证书,一般LAMP或者LNMP脚本都是自带免费证书的。具体可以参考:
1、LNMP环境一键安装免费Let's Encrypt SSL证书
2、宝塔面板不同PHP版本、伪静态设置且一键免费安装Let's Encrypt
但是,如果我们是购买的付费证书则不可以这么自动化安装SSL,我们需要手工安装。
第一、NGINX WEB引擎安装SSL证书
在当前网站下服务器配置文件的.conf文件中添加。
server {
listen 443;
server_name www.domain.com; #填写绑定证书的域名
ssl on;
ssl_certificate 1_www.domain.com_bundle.crt;
ssl_certificate_key 2_www.domain.com.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配置
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照这个套件配置
ssl_prefer_server_ciphers on;
location / {
root html; #站点目录
index index.html index.htm;
}
}
安装完毕之后,我们需要命令检查是否生效。
nginx -t
检测没有报错重启NGINX。
service nginx reload
重启NGINX后生效。
第二、Apache WEB引擎安装SSL
我们需要先在Apache根目录下 conf/httpd.conf 文件,找到 #LoadModule ssl_module modules/mod_ssl.so 和 #Include conf/extra/httpd-ssl.conf,去掉前面的#号注释;编辑Apache根目录下 conf/extra/httpd-ssl.conf 文件。
修改如下内容:
<VirtualHost www.domain.com:443>
DocumentRoot "/var/www/html"
ServerName www.domain.com
SSLEngine on
SSLCertificateFile /usr/local/apache/conf/2_www.domain.com_cert.crt
SSLCertificateKeyFile /usr/local/apache/conf/3_www.domain.com.key
SSLCertificateChainFile /usr/local/apache/conf/1_root_bundle.crt
</VirtualHost>
配置完成后,重新启动 Apache 就可以使用HTTPS网址访问。相对来说好像NGINX比较简单一些。
第三、实例参考安装SSL过程
1、购买证书后合并证书
我们在购买证书后会看到.crt和.ca-bundle文件,需要将这2个文件合并到一个文件.crt中。
2、上传证书
我们需要将上面的CRT文件和KEY文件上传到网站服务器目录中,这个具体放到哪里没事。因为我们可以在引用的时候调用对应自己的路径。
3、引用CONF文件路径
listen 443 ssl http2;
ssl_certificate /usr/local/nginx/conf/ssl/网站域名.crt;
ssl_certificate_key /usr/local/nginx/conf/ssl/网站域名.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_timeout 10m;
ssl_session_cache builtin:1000 shared:SSL:10m;
ssl_buffer_size 1400;
add_header Strict-Transport-Security max-age=15768000;
ssl_stapling on;
ssl_stapling_verify on;
这里我们将配置文件贴到conf文件中,然后检测Nginx,后没有问题就重启生效。
4、收尾工作
如果我们需要强制HTTP跳转至HTTPS,则需要在conf配置文件中设置301强制跳转。
这样,我们才可以完成整个的SSL证书安装,是不是也不是很难?
本文可以参考的文献:
