HTTPS上线过程说明（阿里云提供免费证书）

一、上马HTTPS的原因：

①、苹果App Store强制其平台上的app均要使用HTTPS

②、网站经常被劫持，用户和领导希望使用HTTPS

③、跟随HTTPS的大趋势

二、应用上马HTTPS之部门工作：

①、运维：接入层部署支持HTTPS及后期上线配合

②、开发&QA：页面元素加载，要跟随访问协议（src=”//www.perofu.com/test.jpg”）等等及测试

三、接入层支持HTTPS时机之重要性：

①、有一定规模应用的企业（即大量未部署HTTPS的应用及将要新增的应用），无论是否要上HTTPS。新应用的，请先在接入层（Nginx、Tenginx）的服务上，配置上支持HTTPS

【吐血经历：就为了App Store上HTTPS，每个二级域名的接入层Nginx（电信联通各2台）都进行了升级，工作虽然不繁琐，但是量大，就很恶心了】

②、初创企业，一开始就配置支持HTTPS，并形成安装范本，这样大家都好过

【接入层服务支持HTTPS，应该从现在开始】

【运维和开发，最怕的就是历史遗留问题】

四、SSL证书：

①、购买主流厂商的SSL证书：

简单点的，查看下国内一些公司网站的证书厂商，根据价钱，进行选择

淘宝：GlobalSign nv-sa

360：WoSign

②、申请免费的SSL证书：阿里云

五、前期https准备：

①、Nginx和openssl的版本选择，并对https进行测试，nginx的https配置和优化的最佳配置【困难】

②、对比http和https的性能情况（基调任务监控）

六、接入层支持HTTPS：

①、安装命令：

Nginx安装参数，仅针对HTTPS的，依据情况添加

①、安装openssl：

tar -axf openssl-1.0.2e.tar.gz && cd openssl-1.0.2e

./config --prefix=/usr enable-shared

make

make install

②、安装nginx（Tengine/2.1.2）：

./configure --prefix=/data/PRG/tengine_perofu-www --with-pcre=../pcre-8.32/ --add-module=../ngx_cache_purge-2.0 --with-http_concat_module --with-http_spdy_module --with-http_v2_module

make

make install

②、SSL配置：

listen       443 ssl http2 spdy;

#hsts enable

#add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

#ssl                         on;

ssl_certificate /data/config/cert/fu_all.crt;

ssl_certificate_key /data/config/cert/fu_all.key;

#ssl_dhparam    new_key/fu_dh2048.pem;

# self define

ssl_prefer_server_ciphers   on;

ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;

ssl_protocols            SSLv3 TLSv1 TLSv1.1 TLSv1.2;

ssl_session_cache           shared:SSL:20m;

ssl_session_timeout         10m;

ssl_session_tickets on;

ssl_session_ticket_key /data/config/cert/fu_ticket.key;

#oscp stapling

#ssl_stapling                on;

#ssl_stapling_verify         on;

#ssl_stapling_file /data/config/cert/fu_stapling.ocsp;

#ssl_trusted_certificate /data/config/cert/fu_trust.crt;

spdy_headers_comp           9;

③、开通443端口：

如做了NAT的，需要开放对应的端口，像阿里、腾讯云的都有这些配置

④、检查HTTPS问题：

使用下面的网站进行检查SSL配置：

https://www.ssllabs.com/ssltest/index.html

七、正式上线HTTPS：

这里一般会出现两种情况：

①、二级域名全站上线HTTPS：

1）、修改nginx配置（先备份文件），包括：

（1）、http全部跳转https（return效率高于rewrite）：

return 301 https://www.perofu.com$request_uri;

（2）、对已有的rewrite规则，且是permanent的，将http修改为https：

sed -n '/permanent/ s#http:#https:#gp' nginx.conf

sed -i '/permanent/ s#http:#https:#g' nginx.conf

②、部分规则不使用HTTPS（性能有所降低，且规则越多，性能越低）：

例如：

1）、后台没有完全正常HTTPS，强行跳转，会出现格式问题

2）、内网ip调用，不需要使用HTTPS

3）、只针对GET请求，进行跳转

set $flag 0;

if ($scheme !~ "https"){ set $flag "${flag}1";}

if ($request_method = "GET" ){ set $flag "${flag}2";}

if ($remote_addr !~ 192.168.*|8.8.8.8){ set $flag "${flag}3";}

if ($request_uri !~ ^(/admin/|/js/|/css/) ){ set $flag "${flag}4";}

if ($flag = "01234") {rewrite (.*) https://$host$1 permanent;}

八、https的CDN加速：

建议厂商：保持用户请求方式，否则会导致301跳转死循环。

https://my.oschina.net/fufangchun/blog/844495