写在前面

个人网站运行将近2个月了,期间根据酷壳的一篇教程如何免费的让网站启用HTTPS做了一次,中间遇到问题就放下了。昨天孙三苗问我网站地址说要添加友链,出于好奇想看他网站长什么样,顺道也加一下友链。访问后发现他网站已经启用https了,于是按捺不住内心的冲动。以下是采用Let’s Encrypt免费方案,以及过程中遇到的问题和解决办法。

环境

阿里云服务器 ECS

centos 7

nginx

操作步骤

访问 https://certbot.eff.org 选择相应的SoftWare和System。(比如我的Nginx和Centos/Rhel7)

按页面所示步骤执行:

1)安装Certbot

$ yum -y install yum-utils

$ yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional
$ sudo yum install certbot python2-certbot-nginx

2)获取证书

$ sudo certbot --nginx certonly

执行到这一步出问题了,问题大致是 /etc/nginx 下找不到相应文件夹,certbot 获取证书的同时会修改nginx的配置文件,找不到该文件所以才会报错。因为我的Nginx并没有安装在/etc目录下,而是在/usr/bin/nginx。各人情况可能不太一样,可以通过命令查看你的nginx目录(我的nginx配置文件在/usr/local/nginx/conf/下名为nginx.conf):

$ which nginx

解决办法:(这两行命令大致就是使目录之间建立软连接,进行同步)

$ ln -s /usr/local/nginx/sbin/nginx /usr/bin/nginx
$ ln -s /usr/local/nginx/conf/ /etc/nginx

然后,继续执行获取证书时出问题的命令:

$ sudo certbot --nginx certonly

按提示回车就行了~

3)查看nginx配置文件信息 (/usr/local/nginx/conf/nginx.conf)

 user  www www;

 worker_processes auto;

 error_log  /home/wwwlogs/nginx_error.log  crit;

 pid        /usr/local/nginx/logs/nginx.pid;

 #Specifies the value for maximum file descriptors that can be opened by this process.

 worker_rlimit_nofile ;

 events

     {

         use epoll;

         worker_connections ;

         multi_accept on;

     }

 http

     {

         include       mime.types;

         default_type  application/octet-stream;

         server_names_hash_bucket_size ;

         client_header_buffer_size 32k;

         large_client_header_buffers  32k;

         client_max_body_size 100m;

         sendfile   on;

         tcp_nopush on;

         keepalive_timeout ;

         tcp_nodelay on;

         fastcgi_connect_timeout ;

         fastcgi_send_timeout ;

         fastcgi_read_timeout ;

         fastcgi_buffer_size 64k;

         fastcgi_buffers  64k;

         fastcgi_busy_buffers_size 128k;

         fastcgi_temp_file_write_size 256k;

         gzip on;

         gzip_min_length  1k;

         gzip_buffers      16k;

         gzip_http_version 1.1;

         gzip_comp_level ;

         gzip_types     text/plain application/javascript application/x-javascript text/javascript text/css application/xml application/xml+rss;

         gzip_vary on;

         gzip_proxied   expired no-cache no-store private auth;

         gzip_disable   "MSIE [1-6]\.";

         #limit_conn_zone $binary_remote_addr zone=perip:10m;

         ##If enable limit_conn_zone,add "limit_conn perip 10;" to server section.

         server_tokens off;

         access_log off;

 server

     {

         #listen [::]: default_server ipv6only=on;

         server_name www.liangyadong.com liangyadong.com;

         index index.html index.htm index.php;

         root  /home/wwwroot/default;

         if (-f $request_filename/index.html){

             rewrite (.*) $/index.html break;

         }

         if (-f $request_filename/index.php){

             rewrite (.*) $/index.php;

         }

         if (!-f $request_filename){

             rewrite (.*) /index.php;

         }

         #error_page      /.html;

         # Deny access to PHP files in specific directory

         #location ~ /(wp-content|uploads|wp-includes|images)/.*\.php$ { deny all; }

         include enable-php.conf;

         location /nginx_status

         {

             stub_status on;

             access_log   off;

         }

         location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$

         {

             expires      30d;

         }

         location ~ .*\.(js|css)?$

         {

             expires      12h;

         }

         location ~ /.well-known {

             allow all;

         }

         location ~ /\.

         {

             deny all;

         }

         access_log  /home/wwwlogs/access.log;

     listen  ssl http2; # managed by Certbot

     ssl_certificate /etc/letsencrypt/live/liangyadong.com/fullchain.pem; # managed by Certbot

     ssl_certificate_key /etc/letsencrypt/live/liangyadong.com/privkey.pem; # managed by Certbot

     include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot

     ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

 }

 include vhost/*.conf;

 server

     {

     if ($host = www.liangyadong.com) {

         return 301 https://$host$request_uri;

     } # managed by Certbot

     if ($host = liangyadong.com) {

         return 301 https://$host$request_uri;

     } # managed by Certbot

         listen 80 default_server;

         server_name www.liangyadong.com liangyadong.com;

     return 404; # managed by Certbot

 }}

其中,113~139中加了# managed by Certbot注释的就是自动添加的内容。

4)通过步骤3)可以发现需要用到443端口,所以要在防火墙配置文件中进行配置443端口(/etc/sysconfig/iptables)。

5)重启nginx服务,重启防火墙设置。

$ service nginx restart 
$ service iptables restart

于是满怀信心的打开自己的网站发现并不能访问!

6)之所以到这里还不行,是因为阿里云服务器有一个安全组规则管理。

然后添加安全组规则,将443端口添加进来就哦了~

7)验证端口是否已成功开启(在线检测工具http://coolaf.com/tool/port

8)访问网站验证。

9)明明是https了,为什么不是安全锁而是感叹号呢?

原因在于:网站页面上面引用了不是https的资源,最常见的就是引用的图片、logo点击事件设置的超链接等地方,友链不一定有影响(可以设置试试,我这里友链没有影响)。

解决办法:貌似没什么快捷的方法,反正我是把硬编码的地方把http改成了https,其中最多的就是图片引用链接,因为文章本身不多,而且引用的图片之前是通过后台管理上传到服务器的,现在已全部修改为从微薄图床引用,引用路径都是https。(方法比较笨,有其他解决方案可以留言,拯救一下我这坨菜鸡)

补充:如果用的是wordpress建站记得修改常规选项中的站点地址。(设置>常规)

启用https后效果图如下:

友链没有影响,主要影响是logo的超链接,以及网站首页超链接。

10)添加定时任务(用于更新证书)

执行命令添加定时任务(修改命令相同)

$ crontab -e

添加内容:

   * * /usr/bin/certbot renew --force-renewal        #每月1号凌晨强制更新Let's Encrypt证书

   * * /usr/sbin/service nginx restart               #每月1号凌晨更新证书后重启nginx

保存,设置crond服务为开机自启动。(此时其实已经是自启动的了,难道说默认就是?)

查看、设置自启动可查看该篇centos7设置服务为开机自启动(以crond.serivce为)

另外,从centos7开始命令貌似已经变了。

任务 旧指令 新指令
使某服务自动启动 chkconfig --level 3 httpd on systemctl enable httpd.service
使某服务不自动启动 chkconfig --level 3 httpd off systemctl disable httpd.service
检查服务状态 service httpd status systemctl status httpd.service (服务详细信息) systemctl is-active httpd.service (仅显示是否 Active)
显示所有已启动的服务 chkconfig --list systemctl list-units --type=service
启动某服务 service httpd start systemctl start httpd.service
停止某服务 service httpd stop systemctl stop httpd.service
重启某服务 service httpd restart systemctl restart httpd.service

感谢:

记一次免费让网站启用HTTPS的过程的更多相关文章

  1. 如何免费的让网站启用https

    本文源自酷壳:如何免费的让网站启用HTTPS 今天,我把CoolShell变成https的安全访问了.我承认这件事有点晚了,因为之前的HTTP的问题也有网友告诉我,被国内的电信运营商在访问我的网站时加 ...

  2. 免费为网站加上HTTPS

    前言 最近有好几位同学直接微信赞助说快点更新文章.这个要和大家说声抱歉,的确很久没有写文章了.我们也不找借口,我会尽力保证多写文章.今天我们的主题来讲解 如何给自己的网站 加上HTTPS HTTPS是 ...

  3. 如何为网站启用HTTPS加密传输协议

    前言 当今时代对上网的安全性要求比以前更高,chrome和firefox也都大力支持网站使用HTTPS,苹果也从2017年开始在iOS 10系统中强制app使用HTTPS来传输数据,微信小程序也是要求 ...

  4. WordPress安全篇(1):WordPress网站启用HTTPS详细教程

    以前我们浏览网页使用的都是HTTP协议,HTTP使用明文传输,所以传输过程中很容易遭受黑客窃取.篡改数据,很不安全.在WordPress网站上启用HTTPS协议访问后,能大大提升站点的安全性,启用HT ...

  5. 给独立搭建的博客启用https的过程

    申请SSL证书 我自己独立搭建的博客部署在阿里云服务器上,因此我就先搜索阿里云启用https的方法,网上有比较详细的讲解,在此提供一个参考网址: https://blog.csdn.net/csluc ...

  6. 我是如何将网站全站启用Https的?-记录博客安装配置SSL证书全过程

    评论»   文章目录 为什么要Https 如何选择Https 安装部署SSL证书 平滑过渡Https 搜索引擎的响应 启用Https小结 正如大家所看到的,部落全站已经启用了Https访问了,连续几天 ...

  7. 为什么各大网站都纷纷用起了https?哪些网站需要https(SSL证书)

    其实最近我也在易维信网站的开发组内讨论应用全站https事宜. 其原因非常简单. 因为不断接到用户投诉说网站上出现影响浏览体验的大面积广告. 可是网站平常只针对未登录用户在顶栏和底栏打两小条广告.而且 ...

  8. 简单“三步”让你的网站支持https!

    关于Let's Encrypt Let's Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla.Cisco.Akamai.IdenTrust.EFF等组织人员发起 ...

  9. Startssl 现在就启用 HTTPS,免费的!

    为什么要使用HTTPS 主要是为了安全,虽然没有100%的安全,但是我们可以尽量提高安全级别,目前大型网站都已经使用HTTPS了 注册StartSSL 注册页面  选择国家 和 输入 邮箱 他们会通过 ...

随机推荐

  1. TMS320DM642学习----第一篇(硬件连接)

    DSP设备型号:SEED-DTK-VPM642(目前实验室用途:视频处理,图像处理方向,预计搭载目标跟踪以及云台防抖等算法) 官网链接:http://www.seeddsp.com/index.php ...

  2. TF:Tensorflor之session会话的使用,定义两个矩阵,两种方法输出2个矩阵相乘的结果—Jason niu

    import tensorflow as tf matrix1 = tf.constant([[3, 20]]) matrix2 = tf.constant([[6], [100]]) product ...

  3. Django之视图函数总结

    Django之视图函数总结 HttpRequest与HttpResponse http请求中产生两个核心对象: HttpRequest对象:用户请求相关的所有信息(对象) HttpResponse对象 ...

  4. 李宏毅机器学习笔记4:Brief Introduction of Deep Learning、Backpropagation(后向传播算法)

    李宏毅老师的机器学习课程和吴恩达老师的机器学习课程都是都是ML和DL非常好的入门资料,在YouTube.网易云课堂.B站都能观看到相应的课程视频,接下来这一系列的博客我都将记录老师上课的笔记以及自己对 ...

  5. 多媒体开发(8):调试FFmpeg

    编译FFmpeg得到二进制文件,之后就是对二进制库的调用,这时FFmpeg就像一个黑盒子.作为程序员,难道不想研究一下FFmpeg的具体实现?比如是怎么拿到歌曲信息的.怎么解码的.怎么推流的,等等. ...

  6. java date HHmmss hhmmss

    系统交互时,用到时间流水号的设计,出现时间流水号相同的情况,故对时间格式化各种情况做了研究 SimpleDateFormat(format) format:年月日  yyyyMMdd时分秒  HHmm ...

  7. CodeForces round 967 div2 题解(A~E)

    本来准备比完赛就写题解的, 但是一拖拖了一星期, 唉 最后一题没搞懂怎么做,恳请大神指教 欢迎大家在评论区提问. A Mind the Gap 稳定版题面 https://cn.vjudge.net/ ...

  8. BZOJ.1566.[NOI2009]管道取珠(DP 思路)

    BZOJ 洛谷 考虑\(a_i^2\)有什么意义:两个人分别操作原序列,使得得到的输出序列都为\(i\)的方案数.\(\sum a_i^2\)就是两人得到的输出序列相同的方案数. \(f[i][j][ ...

  9. Lock锁与Condition监视器(生产者与消费者)。

    /*生产者与消费者第二次敲,本人表示很郁闷,以后要经常读这个 * Condition 将Object类中的监视器(wait notify notifyAll)分解成不同的对象.例如condition_ ...

  10. Lua的 table.sort排序

    在用table.sort 排序的时候注意,如果使用多个条件排序,应在一个排序函数里按照条件优先级进行比较排序. 例如 local t = { {time = , i = }, {time = , i ...