|
最近在做網(wǎng)站SSL升級(jí)�,看似簡單的操作還是會(huì)遇到各種問題,現(xiàn)在和大家分享一下��。
證書申請(qǐng):
公司是創(chuàng)業(yè)公司��,為了省成本準(zhǔn)備申請(qǐng)免費(fèi)證書����,對(duì)比了一些證書商,最后選擇使用沃通wosign提供的證書服務(wù)����,發(fā)現(xiàn)有不同配置的證書可以選擇:
EV SSL: 擴(kuò)展驗(yàn)證型SSL(Extended Validation SSL)
OV SSL: 機(jī)構(gòu)驗(yàn)證型SSL(Organization Validation SSL)
DV SSL: 域名驗(yàn)證型SSL(Domain Validation SSL)
證書配置不同瀏覽器信任級(jí)別也不同��,低配證書在瀏覽器安全級(jí)別設(shè)置過高時(shí)可能會(huì)有安全警告����。
沒有錢�����,先選免費(fèi)的DV型證書用著��,等后續(xù)有財(cái)力后可以再提升配置��,按流程申請(qǐng)好會(huì)有一個(gè)回執(zhí)訂單�����,下載即可�����。
升級(jí)策略分析:
https比 http 要消耗更多cpu資源(主要是在建立連接��,之后還要對(duì)內(nèi)容加密)����,所以對(duì)普通網(wǎng)站,只需要對(duì)部分地方采用https即可��,大部分開放內(nèi)容是沒必要的����。不過我們的業(yè)務(wù)場景為了提高網(wǎng)站可信度,采用的是全站https方案����。
應(yīng)用服務(wù)器用的Nginx + Tomcat,只需要針對(duì)nginx這一側(cè)實(shí)現(xiàn)ssl即可(nginx和tomcat處于同一個(gè)局域網(wǎng)內(nèi)����,安全問題暫時(shí)忽略)用戶首先和Nginx建立連接,完成SSL握手��,而后Nginx 作為代理以 http 協(xié)議將請(qǐng)求轉(zhuǎn)給 tomcat 處理��,Nginx再把 Tomcat的輸出通過SSL 加密發(fā)回給用戶�����,Tomcat只是在處理 http 請(qǐng)求而已。因此�����,這種情況下不需要配置 Tomcat 的SSL��,只需要配置 Nginx 的SSL����。
nginx詳細(xì)配置
上線之前先本地環(huán)境測(cè)試,證書和本地域名不一致可以先手工添加列外����,先驗(yàn)證功能。
upstream mytomcats {
server 127.0.0.1:8080;
}
server {
listen 80;
server_name local.domain.com;
rewrite ^(.*)$ https://$host$1 permanent;
}
server {
listen 443 ssl;
ssl on;
server_name local.domain.com;
ssl_certificate D:\\workspace\\nginx-1.6.3\\security\\local.crt;
ssl_certificate_key D:\\workspace\\nginx-1.6.3\\security\\local.key;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
client_max_body_size 10m;
client_body_buffer_size 128k;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_buffer_size 4k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
location ~* \.(jpg|gif|png|swf|svg|map|ttf|woff|woff2|eot|otf|ico|txt|jpeg|html|htm|css|js|json|bmp)$ {
root D:\\workspace\\code\\main-server\\WebContent;
}
location / {
proxy_pass http://mytomcats;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
}
}
本地服務(wù)運(yùn)行后�����,https可以訪問到站點(diǎn)�����,但是發(fā)現(xiàn)很多樣式和圖片出不來����,排查發(fā)現(xiàn)我們很多靜態(tài)文件有用到upyun提供的CDN服務(wù),upyun的訪問地址還是用的http���,頁面中存在混很內(nèi)容���,導(dǎo)致部分資源加載失敗。
混合內(nèi)容是指:在https的頁面中混合了非https的資源請(qǐng)求�,比如圖片、css�、js 等等。
注意:
(1)在http頁面混有https內(nèi)容時(shí)��,頁面排版不會(huì)發(fā)生亂排現(xiàn)象
(2)在https頁面�����,只有包含以http方式引入的資源(如圖片����,js等)時(shí),才算作混合內(nèi)容
只有頁面本身和所有引用的資源都是 https 的瀏覽器才認(rèn)為是安全的�����,只要其中引用了非安全資源(即使圖片)����,瀏覽器都會(huì)給出不安全的提示��,特別是有 js 的情況��。如果瀏覽器提示不安全����,那樣我們就達(dá)不到原來目的了����。我們費(fèi)了半天功夫去申請(qǐng) SSL 證書,配置Web服務(wù)器����,最后如果因?yàn)榛旌蟽?nèi)容而前功盡棄就太不值了?����;鸷鼮g覽器混合顯示內(nèi)容會(huì)這樣指示:
混合腳本執(zhí)行時(shí)整個(gè)原始頁面會(huì)受到影響��,原因是瀏覽器阻止混合內(nèi)容的加載�����。
于是乎又要去解決這個(gè)混合內(nèi)容的問題,先配置好upyun https訪問�,upyun地址我們添加的二級(jí)域名,發(fā)現(xiàn)之前申請(qǐng)的證書只能和主域名綁定用不了����,重新針對(duì)這個(gè)二級(jí)域名再申請(qǐng)一個(gè)免費(fèi)的證書�����,然后在upyun側(cè)配置好SSL��。
這里了解到證書對(duì)域名的支持有泛域名證書和多域名證書����,
泛域名證書支持所有二級(jí)域名*.domain.com,
多域名證書可以支持www.domain.com�、www.domain.cn、www.domain.net
混合內(nèi)容解決好后本地跑通OK�����,部署上線����,打開網(wǎng)站發(fā)現(xiàn)訪問超時(shí)��,檢查配置文件�、查看端口監(jiān)聽����,重啟服務(wù),排查了可能影響的設(shè)置后問題還是沒能找到��,于是換了一臺(tái)同樣配置的測(cè)試服務(wù)器發(fā)現(xiàn)又是能工作正常�����。這時(shí)基本可以排是配置的問題���。
繼續(xù)往上走看域名和阿里云ECS是否還要做什么配置��,發(fā)現(xiàn)前兩天剛部署了一臺(tái)阿里云SLB�����,就是SLB在nginx之前做了一道攔截�,443端口的監(jiān)聽都被它轉(zhuǎn)發(fā)了���,重新配置好SLB的證書���。
需要把之前nginx ssl的配置刪除掉���,不然會(huì)沖突,再次訪問一切正常�����。
如果你的網(wǎng)站也有升級(jí)https的需求�����,那么一定要提前了可能對(duì)其他功能產(chǎn)生影響的點(diǎn)���,選擇合適自己的升級(jí)路線。
歷史文章:
JAVA微信企業(yè)付款到零錢(十分鐘搞定)
|
