一、上马HTTPS的原因:

①、苹果App Store强制其平台上的app均要使用HTTPS

②、网站经常被劫持,用户和领导希望使用HTTPS

③、跟随HTTPS的大趋势

二、应用上马HTTPS之部门工作:

①、运维:接入层部署支持HTTPS及后期上线配合

②、开发&QA:页面元素加载,要跟随访问协议(src=”//www.perofu.com/test.jpg”)等等及测试

三、接入层支持HTTPS时机之重要性:

①、有一定规模应用的企业(即大量未部署HTTPS的应用及将要新增的应用),无论是否要上HTTPS。新应用的,请先在接入层(Nginx、Tenginx)的服务上,配置上支持HTTPS

【吐血经历:就为了App Store上HTTPS,每个二级域名的接入层Nginx(电信联通各2台)都进行了升级,工作虽然不繁琐,但是量大,就很恶心了】

②、初创企业,一开始就配置支持HTTPS,并形成安装范本,这样大家都好过

【接入层服务支持HTTPS,应该从现在开始】

【运维和开发,最怕的就是历史遗留问题】

四、SSL证书:

①、购买主流厂商的SSL证书:

简单点的,查看下国内一些公司网站的证书厂商,根据价钱,进行选择

淘宝:GlobalSign nv-sa

360:WoSign

②、申请免费的SSL证书:阿里云

五、前期https准备:

①、Nginx和openssl的版本选择,并对https进行测试,nginx的https配置和优化的最佳配置【困难】

②、对比http和https的性能情况(基调任务监控)

六、接入层支持HTTPS:

①、安装命令:

Nginx安装参数,仅针对HTTPS的,依据情况添加

①、安装openssl:

tar -axf openssl-1.0.2e.tar.gz && cd openssl-1.0.2e

./config --prefix=/usr enable-shared

make

make install

②、安装nginx(Tengine/2.1.2):

./configure --prefix=/data/PRG/tengine_perofu-www --with-pcre=../pcre-8.32/ --add-module=../ngx_cache_purge-2.0 --with-http_concat_module --with-http_spdy_module --with-http_v2_module

make

make install

②、SSL配置:

listen       443 ssl http2 spdy;

#hsts enable

#add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

#ssl                         on;

ssl_certificate /data/config/cert/fu_all.crt;

ssl_certificate_key /data/config/cert/fu_all.key;

#ssl_dhparam    new_key/fu_dh2048.pem;

# self define

ssl_prefer_server_ciphers   on;

ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;

ssl_protocols            SSLv3 TLSv1 TLSv1.1 TLSv1.2;

ssl_session_cache           shared:SSL:20m;

ssl_session_timeout         10m;

ssl_session_tickets on;

ssl_session_ticket_key /data/config/cert/fu_ticket.key;

#oscp stapling

#ssl_stapling                on;

#ssl_stapling_verify         on;

#ssl_stapling_file /data/config/cert/fu_stapling.ocsp;

#ssl_trusted_certificate /data/config/cert/fu_trust.crt;

spdy_headers_comp           9;

③、开通443端口:

如做了NAT的,需要开放对应的端口,像阿里、腾讯云的都有这些配置

④、检查HTTPS问题:

使用下面的网站进行检查SSL配置:

https://www.ssllabs.com/ssltest/index.html

七、正式上线HTTPS:

这里一般会出现两种情况:

①、二级域名全站上线HTTPS:

1)、修改nginx配置(先备份文件),包括:

(1)、http全部跳转https(return效率高于rewrite):

return 301 https://www.perofu.com$request_uri;

(2)、对已有的rewrite规则,且是permanent的,将http修改为https:

sed -n '/permanent/ s#http:#https:#gp' nginx.conf

sed -i '/permanent/ s#http:#https:#g' nginx.conf

②、部分规则不使用HTTPS(性能有所降低,且规则越多,性能越低):

例如:

1)、后台没有完全正常HTTPS,强行跳转,会出现格式问题

2)、内网ip调用,不需要使用HTTPS

3)、只针对GET请求,进行跳转

set $flag 0;

if ($scheme !~ "https"){ set $flag "${flag}1";}

if ($request_method = "GET" ){ set $flag "${flag}2";}

if ($remote_addr !~ 192.168.*|8.8.8.8){ set $flag "${flag}3";}

if ($request_uri !~ ^(/admin/|/js/|/css/) ){ set $flag "${flag}4";}

if ($flag = "01234") {rewrite (.*) https://$host$1 permanent;}

八、https的CDN加速:

建议厂商:保持用户请求方式,否则会导致301跳转死循环。

https://my.oschina.net/fufangchun/blog/844495

HTTPS上线过程说明(阿里云提供免费证书)的更多相关文章

  1. Nginx 配置 HTTPS 完整过程(阿里云申请免费版一年ssl证书)

    1. nginx 的 ssl 模块安装 查看 nginx 是否安装 http_ssl_module 模块. $ /usr/local/nginx/sbin/nginx -V 如果出现 configur ...

  2. 最新阿里云服务器免费SSL证书配置HTTPS的两种方法(图文教程二)

    在大家学习如何利用免费SSL证书配置网站HTTPS之前,我们先要搞清楚为什么要开启HTTPS,这个绿色的小锁真的有用吗?所谓的HTTPS其实是(安全套接字层超文本传输协议)是以安全为目标的HTTP通道 ...

  3. 阿里云申请免费SSL证书,并配置到Tomcat,实现https访问

    第一步:阿里云免费https证书安装  https://jingyan.baidu.com/article/fdffd1f8619481f3e98ca196.html 第二步:阿里云申请免费SSL证书 ...

  4. 关于阿里云Symantec免费DV证书部署HTTPS

    获取阿里云Symantec免费DV证书: 官方文件说明: 证书文件214188487290026.pem,包含两段内容,请不要删除任何一段内容. 如果是证书系统创建的CSR,还包含:证书私钥文件214 ...

  5. 天河微信小程序入门:阿里云tomcat免费配置https

    天河君在第一时间通过了微信小程序验证,开启了我的微信小程序之旅.因为天河君之前是一名后端狗,对前端不是很了解,所以几乎可以认为是从零开始学做微信小程序.也希望有志在微信小程序方向做点事情的朋友能够和我 ...

  6. 微信小程序开发《一》:阿里云tomcat免费配置https

    小狼咕咕最近开启了微信小程序开发的征程,由于微信小程序的前后台通信必须通过https协议,所以小狼咕咕第一件要做的事就是配置一个能够通过https访问的后台服务.小狼咕咕用的是阿里云ECS服务器,Li ...

  7. 阿里云的免费型DV SSL证书

    阿里云提供的免费型DV SSL. 证书的说明: [公告]免费新根证书,切入DigiCert PKI体系,兼容性如下操作系统版本IOS 5.0+.Android 2.3.3+.JRE 1.6.5+.WI ...

  8. apache中的https设置基于阿里云免费ssl服务

    环境是:debian7+apache2.2+阿里云免费ssl服务,站点以前的http已经在运行了, 1.开通阿里云免费SSL&DNS解析配置 购买位置:打开阿里云找到“产品”-“安全”-“CA ...

  9. 利用阿里云服务器免费体验word press博客、个人网站

    本文首发于我的个人博客:https://chens.life/create-wordpress-blog.html 前言 目前市面上有许许多多的虚拟云服务器ECS,例如阿里云.华为云.又拍云等等,他们 ...

随机推荐

  1. 二分图之最小边覆盖(poj3020)

    题目:poj3020 题意:给出一个图,让你用最少的1*2的纸片覆盖掉图中的全部*出现过的地方. 基本裸的最小边覆盖. 分析: 最小边覆盖 = 点总数 - 最大匹配 所以就是转化为求最大匹配. 跟前面 ...

  2. App各种Icon及Launch image的尺寸和用途

    App各种Icon及Launch image的尺寸和用途 IOS7,8 Asset iPhone 6 Plus (@3x) iPhone 6 and iPhone 5 (@2x) iPhone 4s ...

  3. HDU 1422 重温世界杯 - 贪心

    传送门 题目大意: 给一串数,又正有负,求每一个前缀都大于0的最长子串长度. 题目分析: 直接贪心:每次左端点向右推1,不断延伸右端点,更新答案. code #include<bits/stdc ...

  4. [GeekBand] C++ 内存分布—— new和delete重载的实现及分析

    本文参考文献:GeekBand课堂内容,授课老师:侯捷 :深度探索C++对象模型(侯捷译) :网络资料: http://www.leavesite.com/geekband-cpp-5.html ht ...

  5. Dropout 理论基础与实战细节

    Dropout: A Simple Way to Prevent Neural Networks from Overfitting 对于 dropout 层,在训练时节点保留率(keep probab ...

  6. ServletContextListener接口用法

    ServletContextListener接口用于tomcat启动时自动加载函数,方法如下: 一.需加载的类必须实现ServletContextListener接口. 二.该接口中有两个方法必须实现 ...

  7. Parallel.For

    Parallel.For 你可能忽视的一个非常实用的重载方法    说起Parallel.For大家都不会陌生,很简单,不就是一个提供并行功能的for循环吗? 或许大家平时使用到的差不多就是其中最简单 ...

  8. VS版本 与 .NET版本以及C#版本之间的关系

    版本 .NET Framework版本 Visual Studio版本 发布日期 特性 C# 1.0 .NET Framework 1.0 Visual Studio .NET 2002 2002.1 ...

  9. WPF 好看的矢量图标

    原文:WPF 好看的矢量图标 本文告诉大家一个好用的网站,里面提供很多好看的图标. 本文介绍的网站是 Xamalot 里面有很多好看的图标. 例如我找到了一个好看的图标 我只需要点击下面的下载就可以了 ...

  10. JavaScript实现算法

    leetcode算法题(JavaScript实现)   题外话 刷了一段时间的codewars的JavaScript题目之后,它给我最大的感受就是,会帮助你迅速的提升你希望练习的语言的API的熟悉程度 ...