我的博客已经配置ssl证书启用了https。HTTPS是大势所趋,不管是 B2C 还是 B2B 网站,迟早都要启用。
接着来说怎么给网站从 HTTP 换用 HTTPS。总体来说分为四个步骤:安装 SSL 证书、部署 SSL 证书、修改网站配置文件conf 、网站 URL 中 HTTP 替换为 HTTPS。
一、安装 SSL 证书(Let’s Encrypt)
SSL 证书有免费的也有收费的。具体就不科普了。免费的也可以用,如大名鼎鼎的 Let’s Encrypt SSL certificates.
(2017.6月更新:Let’s Encrypt 已正式更名为 Certbot )
安装证书分两种情况吧。鉴于大多数建站的朋友用虚拟主机 (比如:Bluehost),也有小部分朋友用 VPS 。那么还是分开说:
在虚拟主机上安装证书主要问题是你能接受对方的费用。如Bluehost现在已经提供免费的证书,无需购买独立IP即可安装(第一个网站免费SSL,第二个网站要加SSL就必须升级到独立主机才可以)。
本文主要介绍 VPS 怎样安装部署 SSL 证书并启用 HTTPS。
下载和安装证书
1)先安装 git 包
连接上 VPS 后,在 Xshell 上粘贴命令(每条命令用鼠标右键复制粘贴,回车执行即可。不支持 ctrl+v 粘贴):
sudo yum install git
2)下载证书包
(2017.6月更新:Let's Encrypt 已正式更名为 Certbot )
新的命令为:
sudo git clone https://github.com/certbot/certbot /opt/letsencrypt
3)进入证书目录
cd /opt/letsencrypt
二、创建并部署 Let’s Encrypt SSL 证书
继续命令行执行:
(2017.6月更新:Let’s Encrypt 已正式更名为 Certbot ) 新的命令为:
./certbot-auto certonly --standalone --email 2897xxx@qq.com -d www.example.com -d example.com
注意:
- 上面命令中的 email 地址是方便你接收证书密钥回复以及紧急信息的,尽量填写企业邮箱或者gmail 邮箱,QQ邮箱应该也可以,你可以填写试试。
- 你的网站域名如果是 xyz.com,那么上面就改为:-d www.xyz.com -d xyz.com
建议先把上面命令复制粘贴到记事本里,把 www.example.com 和 example.com 先替换好,然后粘贴执行。
然后等待:
接着,会询问你是否同意的协议。agree 的话,输入 a,回车。此时就准备创建证书了。
注意:如果你在 VPS 上安装过 ss,那么这一步会提示 443 端口被占用,无法继续。由于 SS 是用服务器的 443 端口,而且目前进程默认开启,所以不能继续安装。此时中止安装,回到 Xshell 命令行界面,输入:service shadowsocks stop 然后回车。会停用 ss,把 443 端口空出来。
如上面截图所示,显示: INFO:loading config from /etc/shadowsocks.json stopped Stopping Shadowsocks success 这表明我们已经关闭了 SS 进程。此时重新粘贴上文蓝色粗体部分的命令(注意 example.com 替换成你的域名),然后回车执行,重新执行安装步骤。
最后成功创建证书。
一般情况下,屏幕显示创建的信息如下:
IMPORTANT NOTES: - If you lose your account credentials, you can recover them through e-mails sent to somebody@example.com. - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will expire on 2016-03-31. To obtain a new version of the certificate in the future, simply run Let's Encrypt again. - Your account credentials have been saved in your Let's Encrypt configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Let's Encrypt, so making regular backups of this folder is ideal. - If you like Let's Encrypt, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
此时粘贴执行命令:
sudo ls /etc/letsencrypt/live
会列出该目录下,证书文件存放的网站文件夹,文件夹名就是网站域名。
注意看一下是主域名还是 www域名。这很重要!一会配置证书路径的时候需要检查一下,保证路径正确!比如,这里显示的是主域名,如图中 pxxxl.com,此时继续粘贴:
sudo ls /etc/letsencrypt/live/pxxxl.com(或可能是www.pxxxl.com)
注意上面 pxxxl.com 替换成你的域名。此时会显示创建了 4 个证书。分别是:
cert.pem chain.pem fullchain.pem(公钥) privkey.pem(私钥)
最后两个是我们要用的,需要写到虚拟主机配置文件 conf 里面。
三、修改网站配置文件
用 XFTP 进入 /usr/local/nginx/conf/vhost/ 下的 你的网站的配置文件,通常是 www.xyz.com.conf 文件。下载下来,用 notepad++ 或 Sublime Text 之类的专业的编辑器打开编辑
注意:别用电脑系统自带的记事本,那个只是处理文字用的,会把代码编码弄乱。你可以百度搜索:notepad++,在百度的下载那里选择普通下载,然后下载安装。
CTRL+A 全选中所有代码,删除。然后复制下面我已经配置好的代码,粘贴进入。
server
{
listen 80;
#listen [::]:80;
server_name www.xyz.com xyz.com;
return 301 https://www.xyz.com$request_uri;
}
server
{
listen 443 ssl http2;
ssl_certificate /etc/letsencrypt/live/www.xyz.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/www.xyz.com/privkey.pem;
# 注意检查上面证书的路径,live下的证书文件夹名是否含有www,如果没有,请在上面两行中删除 www.
ssl_ciphers "EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5";
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
# HSTS (ngx_http_headers_module is required) (31536000 seconds = 12 months)
# add_header Strict-Transport-Security "max-age=31536000" always;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
index index.html index.htm index.php default.html default.htm default.php;
server_name www.xyz.com;
root /home/wwwroot/www.xyz.com;
include wordpress.conf;
#error_page 404 /404.html;
include enable-php.conf;
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
expires 30d;
}
location /wp-content/uploads/ {
location ~ .*\.(php)?$ {
deny all;
}
}
location ~ .*\.(js|css)?$
{
expires 12h;
}
location ~ /\.
{
deny all;
}
access_log off;
}
注意检查一下,把上面所有的 xyz.com 换成你的网站主域名。然后保存。
注意:为了让过程简单一些,我们这先别急着上传覆盖源文件。先别重启 nginx。这一步我们先配置好文件,但先不上传重启 nginx。(如果你心急已经上传哪直接跳到步骤 五 重启后,在进行步骤 四)
四、把 WordPress 数据库中 HTTP 替换成 HTTPS
登录 WordPress 后台,然后点击插件,安装插件,搜索:Velvet Blues Update URLs 插件,启用。
启用之后,按照图中设置,
点击 Update 按钮。之后在上方会显示进行了哪些替换处理的结果:
然后,检查一下:
设置(Setting)-常规(General) 那里,WordPress地址 和 网站地址(Site URL) 是不是都改成 https 了。如:https://www.xyz.com
如果还是 http,请手动修改一下。修改之后,系统会立即把你登出后台。
五、上传网站配置文件,重启 nginx
上传第三步我们保存的 www.xyz.com.conf 覆盖掉原文件,
接着 Xshell 执行:service nginx restart
OK,此时 访问你的网站,会自动跳转到 https。
OK,此时再访问首页,已经是绿色小锁加持了!
不管是谷歌浏览器,360浏览器,火狐浏览器都有绿色小锁加持。
六、我都做了,为什么看不到小绿锁?
可能有些人完成第五步后,发现 chrome 浏览器 https 左边并没有出现绿色的小锁啊?
如果你是新装 WordPress,这一步必显示绿色小锁。
如果你是网站搬家,把之前的网站搬过来的,那么可能会不显示小锁。如果你每一步都做好了,但是还是不显示小绿锁,那么只能说,你的数据库中调用的资源虽然都是 https 的,但是页面存在仍用 http 调用的资源。最常见的可能是:
某个主题的 banner图片,你在 主题设置 里面填写的某个资源(多数是图片) 的URL 地址是死的,并不会被存入数据库,所以用插件替换不掉。比如:http:www.xyz.com/wp-content/upload/2016/xx/xxxx.jpg
类似这样在主题设置里写死的 URL 里的 http,插件是没有办法替换到的。所以你要自己去检查是否有调用 https:// 的资源。把这些改成 https:// 就会正常出现小绿锁了。
利用工具检测ssl证书有没有生效。
https://www.sslshopper.com/ssl-checker.html
七、关于免费的 Let’s Encrypt SSL 证书的说明
免费的 L et’s Encrypt SSL certificates 的有效期一般是 90天,90天之后可以再续期。也不麻烦,执行命令行即可。
八、可以让证书到期自动续期吗?
可以!利用 cron 可以让证书到期自动续期。
关于自动续期,建议看看这篇文章:Cron自动续期命令失效导致网站SSL证书到期的解决方案
九、如果同一个vps下有两个网站,怎么给第二个网站配置 https?
多个网站进行配置https教程:VPS配置多域名SSL证书
这到里SSL证书配置完成。