本来是完全不想上https,因为没什么必要,还影响访问速度。不过最近网站的访问似乎受到了某墙的干扰,且根据具体的表现来看,似乎是被关键词过滤了。
考虑到https可以加密,可以抵抗某墙的干扰,于是决定为我的博客添加https支持。
整个过程还是很简单的,我使用的是Let’s Encrypt的免费证书,参考了Jerry Qu的Let’s Encrypt,免费好用的 HTTPS 证书这篇文章。
他使用的是acme-tiny这个开源软件进行自动化证书管理,很方便。不过他后面的都是以Nginx为例来进行操作的,而我前阵子把系统从CentOS 6换成了Ubuntu 14.04 LTS,服务器软件也从Nginx换成了Apache(使用了XAMPP套件)。
因此这里我把我在Apache上的配置过程记录下来。
1 创建账户私钥
首先创建一个目录,用来存放所有的密钥文件。
我用的是root账号登录的,于是就在root目录下创建了一个ssl文件夹~/ssl,也就是/root/ssl。
之后就是创建账户密钥了,命名为account.key,具体命令如下:
openssl genrsa 4096 > account.key
这个密钥是用来给Let’s Encrypt网站验证身份的。
2 创建CSR文件
下面的步骤就是为生成SSL证书做准备了。
首先用下面的命令生成域名密钥。
openssl genrsa 4096 > domain.key
之后生成CSR文件,这里要将需要SSL的域名填进去,以我的网站为例,我将顶级域名和www域名都添加了进去。
openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:fanzheng.org,DNS:www.fanzheng.org")) > domain.csr
3 域名验证
在Let’s Encrypt进行证书签发之前,需要对我们的网站验证所有权。具体来说,他会访问网站的/.well-known/acme-challenge/目录来查看有没有他要求的文件。
在这里,我们只需在网站根目录下创建该文件夹即可。
4 创建证书
首先,下载acme-tiny自动化证书管理脚本。
wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py
接着,指定账户密钥、域名密钥以及验证网站所有权时使用的目录。
python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /opt/lampp/htdocs/.well-known/acme-challenge/ > ./signed.crt
最后,需要将中间证书和网站证书合并:
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
这样,我们最终的证书就是chained.pem。
5 开启Apache的SSL支持
找到httpd-ssl.conf文件,修改SSLCertificateFile和SSLCertificateKeyFile即可,其他都无需修改。
具体来说,修改为SSLCertificateFile "/root/ssl/chained.pem"、SSLCertificateKeyFile "/root/ssl/domain.key"即可。
6 配置证书自动更新
由于Let’s Encrypt的证书有效期只有90天,因此需要定期更新。下面的脚本其实就是上面的命令合在了一起,加上了重启xampp的一个自动化方案,每90天执行一下即可,使用crontab进行定期执行也可以。
cd /root/ssl/
python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /opt/lampp/htdocs/.well-known/acme-challenge/ > ./signed.crt || exit
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
/opt/lampp/xampp restart
7 设置网站重定向
现在最后一个步骤就是将原本的http重定向至https。我们在网站根目录下创建一个.htaccess文件,在里面写上重定向规则即可。
具体到我的网站,就是:
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://fanzheng.org/$1 [L,R=301]
RewriteCond %{HTTP_HOST} ^www.fanzheng.org$ [NC]
RewriteRule ^(.*)$ https://fanzheng.org/$1 [L,R=301]
意思是将所有80端口的访问重定向到https的顶级域名,且将所有的www域名的访问也都重定向到https的顶级域名。