网站配置https(腾讯云域名操作)

Published on with 62 views

我们都知道http协议是超文本传输协议,早期的网站使用的都是http,但是并不安全,数据在传输过程中容易被拦截篡改。所以后面有了https,也就是经过ssl加密的http协议。本文主要对网站配置https做一个总结,对https的概念不做具体介绍,想了解的可以参考百度百科或者维基百科中的介绍。

获得 SSL 安全证书

要想配置https,首先要获取ssl证书。常见的有 Godaddy 、 GlobalSign等收费机构签发的证书,当然也有 ISRG ( Internet Security Research Group )推出的免费证书==Let’s Encrypt==,不过要每三个月更新一次。当前网站用的就是Let’s Encrypt免费证书。

采用Let’s Encrypt证书配置https,最简单的办法就是Certbot,但是由于腾讯云的域名解析服务器有防火墙限制,导致执行./certbot-auto certonly命令的时候,一直没办法解析域名。

无奈只好采用其它办法。腾讯云其实自己有封装一套获取Let’s Encrypt证书的方法。
具体详见:腾讯云DNSPod API申请Let’s Encrypt泛域名证书

按照步骤操作到最后一步就成功了一半了,然后就是怎么使用这些证书。详情可以参考
证书安装指引。我的网站用的是nginx做的方向代理。按照指导配置如下:

server {
        listen 80;
        server_name  www.iwillhaveacatoneday.cn;
        rewrite ^(.*) https://$server_name$request_uri permanent;   
    }

server {
        listen 443;
        server_name www.iwillhaveacatoneday.cn; #填写绑定证书的域名
        ssl on;
        ssl_certificate 1_iwillhaveacatoneday.cn_bundle.crt;
        ssl_certificate_key 2_iwillhaveacatoneday.cn.key;
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配置
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照这个套件配置
        ssl_prefer_server_ciphers on;
        location ^~ /static/ {
              root /usr/share/nginx/html;
         }
         location / {
             proxy_pass http://backend$request_uri;
             proxy_set_header  Host $host:$server_port;
             proxy_set_header  X-Real-IP  $remote_addr;
             client_max_body_size 10m;
        }
    }

艰难踩坑

一波三折,好不容易获取证书,配置完nginx.conf。在重启nginx后,又遇到问题

Job for nginx.service failed because the control process exited with error code. See "systemctl status nginx.service" and "journalctl -xe" for details.

根据提示我们执行==systemctl status nginx.service==(systemctl命令),从打印出来的日志我们发现了错误

nginx: [error] open() "/usr/local/var/run/nginx.pid" failed (2: No such file or directory)

看来是nginx.pid文件丢失导致无法停掉nginx进程。
解决方案详见 Nginx 重启时丢失nginx.pid文件解决方法
我们直接简单粗暴用==pkill -9 nginx==停掉了Nginx,然后重启,顺利启动。

激动地在浏览器输入域名,回车,结果显示==拒绝了我们的连接请求==。WTF???明明我都可以通过ssh连接到服务器,拒绝连接请求什么鬼。不过仔细一想可能是是因为装了防火墙,把443端口给禁了,导致HTTPS服务没法访问。

因为腾讯云的安全组不是很好用,经常开发了端口结果没生效,当时就把安全组的端口全部暴露了,然后自己装了firewalld。所以只需要把firewalld的443端口开发就好

firewall-cmd --list-ports    #查看防火墙开放的端口
firewall-cmd --zone=public --add-port=443/tcp --permanent    #防火墙添加443端口
firewall-cmd --reload    #重启防火墙

然后重启Nginx,刷新页面,结果又报错了(活着好难。。。)

502 bad gateway

这回nginx应该没啥问题,估计是网站挂了,于是跑去看日志,果然发现一堆异常,程序貌似没有成功启动。为了确认,看下有没有网站的进程

ps -ef|grep solo

果然没有进程。重启网站后,再刷新,终于看到熟悉的首页,https成功配置完成。

阅读原文


标题:网站配置https(腾讯云域名操作)
作者:MarsChan
地址:https://www.marscheng.cn/articles/2019/06/25/1561458075494.html

Responses