快到年底了，估計很多人都在折騰這貨，其實HTTPS很早就出現了，只是一直像IPv6那樣，普及率不高。這次谷歌和蘋果兩大巨頭決定強推HTTPS，估計也是因為安全問題，畢竟有了太多“前車之鑒”，是時候該有所行動了。

領袖的“振臂一呼”，當然“應者云集”，國內各互聯網服務商、知名網站、包括草根站長們，都紛紛跟進，陸續部署起了SSL證書，全面迎來了一波HTTPS升級浪潮。作為關注互聯網的我，喜歡嘗試新事物，所以趁著博客改版之際，也試了下，為了點亮那把小綠鎖，真是各種折騰，在此做個階段性小結，分享下踩坑經驗吧。

HTTPS的安全基礎是SSL，因此加密內容就需要配合SSL證書，目前國內外都有廠商提供免費版的SSL證書，下面就我知道的做個介紹吧：

1. Let's Encrypt

這家目前是國外信譽最好、推薦度最高的，由Mozilla、思科、Akamai等組織發起，來頭不小。

證書時效：90天，到期可以手動renew

部署教程：可以參考這篇，寫的非常詳細了。另外，下面評論里有推薦一個網站：https://certbot.eff.org/，也是基于官方的程序，但操作上要更簡單些，我試了下，可以成功獲取到證書，這里就以CentOS 7 LNMP環境為例，大致命令如下（可訪問該網站獲取更多詳情）：

a. 下載安裝程序

yum install certbot#下載安裝程序 certbot certonly#此處為只獲取證書 

b. 然后會彈出圖形界面，按提示操作即可，切記網站根目錄路徑要寫正確，因為后面要做驗證。

c. 這里坑就來了，可能會有童鞋和我一樣，所有設置都填寫無誤，但每次都提示404驗證失敗，Why？后來查了下，發現是Nginx的鍋，默認對.開頭的訪問有阻擋，需要添加配置如下：

location ~ /.well-known { allow all; } 

d. 這樣證書就順利下來了，一般會在/etc/letsencrypt/live/你的域名/下面，有4個.pem文件。最后在nginx的配置里添加下ssl的內容，我加的是這些：

listen 443 ssl; ssl_certificate /etc/letsencrypt/live/roubintech.com/fullchain.pem; #路徑要寫對 ssl_certificate_key /etc/letsencrypt/live/roubintech.com/privkey.pem;#路徑要寫對 ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; 

e. 90天到期之后，可以手動輸命令renew，網站上也有寫，運行certbot renew --quiet，renew后建議再跟上service nginx reload命令。

2. 阿里云/七牛/騰訊云SSL證書

這里放一起，是因為目前國內各家都是和賽門鐵克合作，發的他家證書，而且操作上也類似，都要驗證域名等。而因為DV SSL證書，是一張證書只能對應一個域名（附送www前綴），所以申請前，建議先想好用哪個域名。

證書時效：1年

部署教程：參考下七牛官方的說明文檔吧，挺詳細，就是CNAME的主機記錄填寫，記得把后面的主域名去掉。

3. 使用CDN部署HTTPS

如果是VPS、云主機、服務器等，可以使用上面申請的SSL證書直接部署，而像虛擬主機那種本身不支持HTTPS，或無法開啟443端口的網站，就可以使用CDN來“曲線救國”了。
阿里云/七牛/騰訊云都有自己的CDN，再配合上自家的證書，是極為方便的，但總體價格嘛，呵呵，仁者見仁吧，這里要介紹的是推薦度比較高的VeryCloud云分發(CDN)服務，50G/月的免費流量，夠用了。

部署教程：VeryCloud官方的幫助文檔，記得先上傳你的證書（七牛的證書只能用于自家服務），然后創建頻道，用主域名就好，原站點寫IP，回源用HTTP方式，因為你網站本身不支持嘛（支持的請用HTTPS），然后按要求，到DNS管理的地方，為主域名添加一條CNAME，建議此時給WWW的記錄也加一條CNAME，這樣兩個都走CDN，然后A記錄就可以先暫停了。

4. 圖片等多媒體資源的HTTPS化

這里我用的是七牛的云存儲，支持圖片等HTTPS方式訪問，配合上七牛融合CDN，速度很快

部署教程：七牛官方文檔

因為加速資源訪問的是七牛云存儲，可能需要一個二級域名做解析，而且上HTTPS的話，同樣需要對應的證書，略麻煩，其實還好，直接在七牛申請挺快的，當然你不用擔心一個網站上了多張SSL證書會有問題(內心是多想來一張wildcard SSL證書啊)，有個東西叫SNI可以解決。

5. 多說頭像、表情的HTTPS問題

多說現在用的蠻多，但它對HTTPS的支持還不理想，目前第三方社交賬號的頭像、表情還不行，所以有時你會發現折騰半天，小鎖還是灰的，可能就是這個原因。

當然解放方法也很多：

a. 頭像：不使用第三方社交賬戶的頭像，而是后臺重新上傳一個

b. 表情：咳咳，我是直接選擇不用表情啦，一是懶，二是覺得丑~

c. 換掉多說的js: 參考這篇，然后Github上還專門有個repository，也可以解決

d. 其他替代方案：暢言、網易云跟帖，我沒用過，據說都不錯

目前就折騰了這么多，如有疑問，歡迎交流O(∩_∩)O

轉載請標明本文地址

本頁內容由塔燈網絡科技有限公司通過網絡收集編輯所得，所有資料僅供用戶學習參考，本站不擁有所有權，如您認為本網頁中由涉嫌抄襲的內容，請及時與我們聯系，并提供相關證據，工作人員會在5工作日內聯系您，一經查實，本站立刻刪除侵權內容。本文鏈接:http://www.kwpm.com.cn/20371.html