记一次免费让网站启用HTTPS的过程

写在前面

个人网站运行将近2个月了,期间根据酷壳的一篇教程如何免费的让网站启用HTTPS做了一次,中间遇到问题就放下了。昨天孙三苗问我网站地址说要添加友链,出于好奇想看他网站长什么样,顺道也加一下友链。访问后发现他网站已经启用https了,于是按捺不住内心的冲动。以下是采用Let’s Encrypt免费方案,以及过程中遇到的问题和解决办法。

环境

阿里云服务器 ECS

centos 7

nginx

操作步骤

访问 https://certbot.eff.org 选择相应的SoftWare和System。(比如我的Nginx和Centos/Rhel7)

按页面所示步骤执行:

1)安装Certbot

$ yum -y install yum-utils
$ yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional
$ sudo yum install certbot python2-certbot-nginx

2)获取证书

$ sudo certbot --nginx certonly

执行到这一步出问题了,问题大致是 /etc/nginx 下找不到相应文件夹,certbot 获取证书的同时会修改nginx的配置文件,找不到该文件所以才会报错。因为我的Nginx并没有安装在/etc目录下,而是在/usr/bin/nginx。各人情况可能不太一样,可以通过命令查看你的nginx目录(我的nginx配置文件在/usr/local/nginx/conf/下名为nginx.conf):

$ which nginx

记一次免费让网站启用HTTPS的过程

解决办法:(这两行命令大致就是使目录之间建立软连接,进行同步)

$ ln -s /usr/local/nginx/sbin/nginx /usr/bin/nginx
$ ln -s /usr/local/nginx/conf/ /etc/nginx

然后,继续执行获取证书时出问题的命令:

$ sudo certbot --nginx certonly

按提示回车就行了~

3)查看nginx配置文件信息 (/usr/local/nginx/conf/nginx.conf)

 user  www www;

 worker_processes auto;

 error_log  /home/wwwlogs/nginx_error.log  crit;

 pid        /usr/local/nginx/logs/nginx.pid;

 #Specifies the value for maximum file descriptors that can be opened by this process.
worker_rlimit_nofile ; events
{
use epoll;
worker_connections ;
multi_accept on;
} http
{
include mime.types;
default_type application/octet-stream; server_names_hash_bucket_size ;
client_header_buffer_size 32k;
large_client_header_buffers 32k;
client_max_body_size 100m; sendfile on;
tcp_nopush on; keepalive_timeout ; tcp_nodelay on; fastcgi_connect_timeout ;
fastcgi_send_timeout ;
fastcgi_read_timeout ;
fastcgi_buffer_size 64k;
fastcgi_buffers 64k;
fastcgi_busy_buffers_size 128k;
fastcgi_temp_file_write_size 256k; gzip on;
gzip_min_length 1k;
gzip_buffers 16k;
gzip_http_version 1.1;
gzip_comp_level ;
gzip_types text/plain application/javascript application/x-javascript text/javascript text/css application/xml application/xml+rss;
gzip_vary on;
gzip_proxied expired no-cache no-store private auth;
gzip_disable "MSIE [1-6]\."; #limit_conn_zone $binary_remote_addr zone=perip:10m;
##If enable limit_conn_zone,add "limit_conn perip 10;" to server section. server_tokens off;
access_log off; server
{
#listen [::]: default_server ipv6only=on;
server_name www.liangyadong.com liangyadong.com;
index index.html index.htm index.php;
root /home/wwwroot/default; if (-f $request_filename/index.html){
rewrite (.*) $/index.html break;
} if (-f $request_filename/index.php){
rewrite (.*) $/index.php;
} if (!-f $request_filename){
rewrite (.*) /index.php;
} #error_page /.html; # Deny access to PHP files in specific directory
#location ~ /(wp-content|uploads|wp-includes|images)/.*\.php$ { deny all; } include enable-php.conf; location /nginx_status
{
stub_status on;
access_log off;
} location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
expires 30d;
} location ~ .*\.(js|css)?$
{
expires 12h;
} location ~ /.well-known {
allow all;
} location ~ /\.
{
deny all;
} access_log /home/wwwlogs/access.log; listen ssl http2; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/liangyadong.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/liangyadong.com/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot }
include vhost/*.conf; server
{
if ($host = www.liangyadong.com) {
return 301 https://$host$request_uri;
} # managed by Certbot if ($host = liangyadong.com) {
return 301 https://$host$request_uri;
} # managed by Certbot listen 80 default_server;
server_name www.liangyadong.com liangyadong.com;
return 404; # managed by Certbot }}

其中,113~139中加了# managed by Certbot注释的就是自动添加的内容。

4)通过步骤3)可以发现需要用到443端口,所以要在防火墙配置文件中进行配置443端口(/etc/sysconfig/iptables)。

记一次免费让网站启用HTTPS的过程

5)重启nginx服务,重启防火墙设置。

$ service nginx restart 
$ service iptables restart

于是满怀信心的打开自己的网站发现并不能访问!

6)之所以到这里还不行,是因为阿里云服务器有一个安全组规则管理。

记一次免费让网站启用HTTPS的过程

然后添加安全组规则,将443端口添加进来就哦了~

记一次免费让网站启用HTTPS的过程

7)验证端口是否已成功开启(在线检测工具http://coolaf.com/tool/port

记一次免费让网站启用HTTPS的过程

8)访问网站验证。

记一次免费让网站启用HTTPS的过程

9)明明是https了,为什么不是安全锁而是感叹号呢?

原因在于:网站页面上面引用了不是https的资源,最常见的就是引用的图片、logo点击事件设置的超链接等地方,友链不一定有影响(可以设置试试,我这里友链没有影响)。

解决办法:貌似没什么快捷的方法,反正我是把硬编码的地方把http改成了https,其中最多的就是图片引用链接,因为文章本身不多,而且引用的图片之前是通过后台管理上传到服务器的,现在已全部修改为从微薄图床引用,引用路径都是https。(方法比较笨,有其他解决方案可以留言,拯救一下我这坨菜鸡)

补充:如果用的是wordpress建站记得修改常规选项中的站点地址。(设置>常规)

记一次免费让网站启用HTTPS的过程

启用https后效果图如下:

记一次免费让网站启用HTTPS的过程

友链没有影响,主要影响是logo的超链接,以及网站首页超链接。

记一次免费让网站启用HTTPS的过程

10)添加定时任务(用于更新证书)

执行命令添加定时任务(修改命令相同)

$ crontab -e

添加内容:

   * * /usr/bin/certbot renew --force-renewal        #每月1号凌晨强制更新Let's Encrypt证书
* * /usr/sbin/service nginx restart #每月1号凌晨更新证书后重启nginx

记一次免费让网站启用HTTPS的过程

保存,设置crond服务为开机自启动。(此时其实已经是自启动的了,难道说默认就是?)

记一次免费让网站启用HTTPS的过程

查看、设置自启动可查看该篇centos7设置服务为开机自启动(以crond.serivce为)

另外,从centos7开始命令貌似已经变了。

任务 旧指令 新指令
使某服务自动启动 chkconfig --level 3 httpd on systemctl enable httpd.service
使某服务不自动启动 chkconfig --level 3 httpd off systemctl disable httpd.service
检查服务状态 service httpd status systemctl status httpd.service (服务详细信息) systemctl is-active httpd.service (仅显示是否 Active)
显示所有已启动的服务 chkconfig --list systemctl list-units --type=service
启动某服务 service httpd start systemctl start httpd.service
停止某服务 service httpd stop systemctl stop httpd.service
重启某服务 service httpd restart systemctl restart httpd.service

感谢:

上一篇:性能监控(6)–JAVA下的jinfo命令


下一篇:Javascript中只能在 HTML 输出流中使用 document.write,在文档已加载后使用它(比如在函数中),会覆盖整个文档。