从http到https
这个五一折腾了下https
,看了加密的建立过程和原理,然后动手实践,把博客从不支持https
的阿里云虚机上搬到了新买的腾讯云的主机上,配好了https
,这里记录一下。
加密连接建立过程与原理
这个部分不想自己写了,参见 sf 上的这篇文章就很容易理解。
我的理解
https
并不是一个全新的协议,而是一个组合的协议,是ssl
与http
组合而来的,其模型如下图
不难发现其实https
就是在ssl
连接的基础上对http
报文进行加密后发送。通过抓包,我们不难发现这一点:
以
segmentfault.com
为例,用wireshark
抓取发送的数据包 用http
关键字进行筛选: 用ip.addr
关键字进行筛选
从截图可以看出:
- 数据包的抓取并不能获取到
http
协议的任何信息,哪怕是URL
也不行 - 通过
ip
地址获取到的数据包,应用层协议是SSL
,在协议的报文中包含加密数据包的协议,加密协议的版本等信息,但无法获取原始报文
按照这个逻辑,我们就可以对所有应用层的协议进行加密工作,比如sftp
。另外,最让码农感觉幸福的是,只要服务器做好配置,我们不需要修改代码,只需要修改接口的协议,其加密过程对于程序来说是透明的。
letsencrypt
Let’s Encrypt 是一个提供免费SSL
证书的项目,托管在github
上:
https://github.com/letsencrypt/letsencrypt
有了这个项目,我们可以方便的把自己的站点升级成为https
然而,这个项目提供的证书默认有效期是 90 天,我们需要定期的更新证书,或者写个脚本,定时执行。
实战
准备工作
在获取证书的时候,需要使用 80 和 443 端口,所以需要先关闭占用这两个端口的程序
|
|
获取letsencrypt
|
|
最后一个命令会帮助解决项目的依赖问题
获取证书
上一个命令结束后会打印出一些使用的帮助信息,可以根据帮助信息选择需要的参数。
因为我的站点部署在nginx
上,所以使用如下命令:
|
|
如果得到如下信息则说明证书已经正确获得了:
|
|
配置nginx
nginx
的配置能够在网上找到很多资料,这里我就把我的与ssl
相关的配置贴出来
|
|
配置完成,启动nginx
和php-fpm
|
|
然后访问自己的站点,发现已经能够强制使用https
了。
wordpress
还有一些设置需要调整,把以前使用http
链接本站资源的地方给改过来,如站点URL、主题使用的图片等信息