Fork me on GitHub

免費申請 HTTPS 證書,開啟全站 HTTPS

作者:HelloGitHub-追夢人物

文中涉及的示例代碼,已同步更新到 HelloGitHub-Team 倉庫

HTTP 報文以明文形式傳輸,如果你的網站只支持 HTTP 協議,那么就有可能遭受到安全攻擊。你可以使用 Google 瀏覽器打開一個 HTTP 協議網站,會發現 Chrome 在網址的左邊將這個網站標記為不安全。

HTTPS 為 HTTP 報文提供了一個加密傳輸的通道,這樣攻擊者就無法竊聽或者篡改傳輸的內容。要啟用 HTTPS,必須向一個可信任機構申請一個 HTTPS 證書。專業的證書申請需要收費,不過對于個人博客網站來說,有很多免費的證書申請機構。比如 Let’s Encrypt,它提供了免費的證書申請服務,申請過程十分簡單,只需要運行幾條命令即可,而且證書到期后支持自動續期,可謂一勞永逸。接下來我們就是用 Let’s Encrypt 提供的工具來申請免費的 HTTPS 證書。

首先安裝 Let’s Encrypt 提供的證書申請工具。登錄 https://certbot.eff.org/ 選擇我們博客網站使用的服務器軟件和操作系統。教程中以 Nginx 和 CentOS 7 為例:

首先安裝必要工具:

$ sudo yum -y install yum-utils
$ sudo sudo yum install -y certbot python2-certbot-nginx

certbot python2-certbot-nginx 是 Let’s Encrypt 提供的 HTTPS 證書申請的工具,python2-certbot-nginx 是專門針對 Nginx 的插件,使得 Nginx 運行的服務申請證書更加簡單方便。

然后運行證書申請命令:

$ sudo certbot --nginx

注意

經測試,運行上述命令后有可能報 ImportError: No module named 'requests.packages.urllib3' 的錯誤,這是由于 requests 和 urlib3 版本過低所致(可以參考這個 issue 的討論),解決辦法是重裝它們,運行下面的命令:

$ pip uninstall requests
$ pip uninstall urllib3
$ yum remove python-urllib3
$ yum remove python-requests

然后重新安裝 certbot,由于它依賴上面兩個包,所以重裝時會一并裝上:

$ sudo yum install -y certbot python2-certbot-nginx

重新執行證書申請命令:sudo certbot --nginx

會有一系列交互式的提示,首先會讓你輸入郵箱,用于訂閱。然后輸入 a 同意他們的政策。

接著 certbot 會自動掃描出來域名,根據提示輸入想開啟 HTTPS 的域名標號:

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: django-blog-tutorial-v2-demo.zmrenwu.com
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 1

然后 certbot 會做一個域名校驗,證明你對這個域名有控制權限。驗證通過后,Let's Encrypt 就會把證書頒發給你。

最后會提示你是否把 HTTP 重定向到 HTTPS,當然選擇是,這樣 certbot 會自動幫我們修改 Nginx 的配置,將 HTTP 重定向到 HTTPS,如果用戶使用 HTTP 協議訪問我們的博客網站,就會重定向到 HTTPS 協議訪問,確保安全性。

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
Redirecting all traffic on port 80 to ssl in /etc/nginx/conf.d/django-blog-tutorial-v2.conf

certbot 申請的證書只有 3 個月有效期,不過沒有關系,certbot 可以無限續期,我們增加一條 crontab 定時任務用來執行 certbot 自動續期任務,這樣一次申請,終生使用。

打開 /etc/crontab,增加定時任務:

echo "0 0,12 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew" | sudo tee -a /etc/crontab > /dev/null

這里配置每天 12 點執行自動續期命令。

由于全站開啟了 HTTPS,因此需要把網站中非 HTTPS 的內容(比如通過 HTTP 協議請求的外部資源)改為 HTTPS,我們的博客中目前有一處引入外部圖標庫的樣式文件是以 HTTP 協議引入的,需要改為 HTTPS:

base.html

<link rel="stylesheet" href="https://code.ionicframework.com/ionicons/2.0.1/css/ionicons.min.css">

以上,簡單幾步,就開啟了全站 HTTPS。


『講解開源項目系列』——讓對開源項目感興趣的人不再畏懼、讓開源項目的發起者不再孤單。跟著我們的文章,你會發現編程的樂趣、使用和發現參與開源項目如此簡單。歡迎留言聯系我們、加入我們,讓更多人愛上開源、貢獻開源~

posted @ 2019-10-04 10:03 削微寒 閱讀(...) 評論(...) 編輯 收藏
乐就娱乐