花了一晚上将博客上了 https ，还是蛮简单的~

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 2939 天前的主题，其中的信息可能已经有所发展或是发生改变。

由于微信小程序要求接口使用 https, 以后会用到，所以先拿自己的博客练一练手。

用的是 let's encrypt 免费证书，环境是 CentOS+ Nginx , 使用 certbot 安装证书。

步骤是：

确保自己的域名解析全部是 A 记录
使用 certbot 安装证书
使用 crontab 自动 renew 证书
配置 NGINX ,ssl server
将 http 跳转到 https , 将 WWW 跳转到 NON-WWW

现在域名前面跟一个绿色的 https ,看着倍爽呀 https://seekbetter.me

seekbetter.me

第 1 条附言 · 2016-11-08 22:21:19 +08:00

经过又一晚的折腾（滑稽脸），我也变成优等生啦！

十分感谢 @mikeshinoda 的 SSL 配置生成器，好评！F到A+一步到位！

就此总结一下评论里面比较好用的工具：

###1. 工具类

@dynaguy ,SSL 测试工具： https://www.ssllabs.com/ssltest/index.html

@zqcolor ,acme-tiny证书安装工具： https://github.com/diafygi/acme-tiny

@Technetiumer , 阿里云有免费的 Symantec: https://common-buy.aliyun.com/?commodityCode=cas#/buy

@justyy ,一条龙服务cloudflare： https://www.cloudflare.com/

@mikeshinoda ,牛逼的SSL配置生成器：https://mozilla.github.io/server-side-tls/ssl-config-generator/

###2. 参考资料

@yizhilee ,https://blog.yizhilee.com/post/letsencrypt-certificate/

@ylsc633 ,https://www.iphpt.com/detail/42

@youyoulemon ,https://imququ.com/post/my-nginx-conf.html

###3. 感谢

感谢 @anjunecha , @uncleroot, 两位大神给出的建议！

最后 @sadscv , 我觉的看这些资料应该够了，我的步骤和记录不一定适合你。看下面那么多评论说我还得用一晚上才能搞定的，你应该能感受到这确实不难。安装证书看let' encrypt 官方说明，配置 nginx用ssl配置生成器。很简单！

第 2 条附言 · 2016-11-16 10:14:33 +08:00

11/16 更新：

@dynaguy 大神又给出了一个测试工具： https://securityheaders.io/

在这个上面测试我才是 E ( 悲伤脸 )

又有的折腾啦！多谢 @dynaguy ！

域名

证书

non-www

encrypt

117 条回复 • 2019-11-29 15:02:13 +08:00

1 2

❮

❯

sadscv

2016-11-08 00:33:49 +08:00 via Android

感谢分享，能介绍一下更详细的安装和配置过程吗？

wensonsmith

2016-11-08 00:36:44 +08:00

@sadscv

今天有点晚了，我明天写一个详细的教程，把步骤和配置和踩过的坑发上来。

Drops

2016-11-08 00:42:41 +08:00

请问，怎么把博客从 Github Pages 转移到 VPS 上啊？放在 VPS 上才能够实现 https

JohnLou

2016-11-08 00:44:26 +08:00

明明很简单，照官网的来就行了，就一行命令，其他的什么第三方工具反而乱七八糟。

yhxx

2016-11-08 00:46:52 +08:00

@Drops 现在 github pages 貌似也支持 https 了

Drops

2016-11-08 00:52:57 +08:00

@yhxx 不能自定义域名使用啊

justyy

2016-11-08 01:49:02 +08:00

@wensonsmith 用 cloudflare flexible, 10 秒钟上 SSL

dynaguy

2016-11-08 02:04:20 +08:00

@wensonsmith 不好意思砸一下你的场子！
会写“ Hollo World!"然后就说”原来编程还是蛮简单~“,太奶义务了吧.
看看你可怜的得分吧：（Ｆ）
https://www.ssllabs.com/ssltest/analyze.html?d=seekbetter.me

RqPS6rhmP3Nyn3Tm

2016-11-08 02:18:58 +08:00 via iPad

F 评级，还要努力啊

SoloCompany

2016-11-08 02:28:36 +08:00

@Drops 简单说，如果用 github.io 域名直接就支持，如果想用自己的域名，反代就是了

yizhilee

2016-11-08 02:35:54 +08:00 via Android

@sadscv 昨天刚写了一篇关于 Let's Encrypt 的文章 https://blog.yizhilee.com/post/letsencrypt-certificate/

lisonfan

2016-11-08 02:36:23 +08:00 via iPhone

A+ 路过

xshwy

2016-11-08 02:37:45 +08:00 via iPhone

阿里云和腾讯云都有无条件使用的免费证书的，一年起签，方便不少

anjunecha

2016-11-08 02:44:49 +08:00 via iPhone

OpenSSL 的版本不合适，建议自己编译最新的， Nginx 配置不对， ssl_protocol 和 cipher 写得不合适，另外，开启 HSTS 一定要慎重

zqcolor

2016-11-08 03:31:24 +08:00

acme-tiny 很方便安装 let ‘ s encrypt

https://github.com/diafygi/acme-tiny

onlyhot

2016-11-08 05:40:18 +08:00 via iPhone

这类教程太多了，我这种小白都可以半小时部署完

twoyuan

2016-11-08 07:14:16 +08:00

@Drops Coding.net 的 pages 现在可以自动签 LE 的证书了，只要绑定域名即可；另外 GitLab 提供的 pages 服务可以配置自己的证书。自己 VPS 的话如楼上所说反代应该就可以了

panda1001

2016-11-08 07:19:51 +08:00 via Android

阿里云可以免费签一年的赛铁门克，腾讯云一年的 GoTrust

RobertYang

2016-11-08 07:52:34 +08:00 via Android

@lisonfan 现在一堆 A+ 233333

dennyzhang

2016-11-08 07:57:32 +08:00

SSL 证书还有免费的呀。我还以为都要自己买

fox0001

2016-11-08 08:07:19 +08:00 via Android

let's encrypt 就是为了推动 https ～总之，免费就是爽

justyy

2016-11-08 08:14:54 +08:00

@dynaguy 我用的是 cloudflare + strict ssl, https://justyy.com
https://www.ssllabs.com/ssltest/analyze.html?d=justyy.com
评分 A+

justyy

2016-11-08 08:18:58 +08:00

![https://justyy.com/jpg/justyy-ssl-grade-a.jpg]( https://justyy.com/jpg/justyy-ssl-grade-a.jpg)

justyy

2016-11-08 08:20:13 +08:00

见此图 ![https://justyy.com/jpg/justyy-ssl-grade-a.jpg]( https://justyy.com/jpg/justyy-ssl-grade-a.jpg)

justyy

2016-11-08 08:20:52 +08:00

为啥不支持 markdown?
![https://justyy.com/jpg/justyy-ssl-grade-a.jpg]( https://justyy.com/jpg/justyy-ssl-grade-a.jpg)

29EtwXn6t5wgM3fD

2016-11-08 08:21:44 +08:00 via Android

@Drops 国内 VeryCloud 免费 cdn 可以绑 ssl 证书

justyy

2016-11-08 08:21:49 +08:00

好吧，有 BUG ，会自动的在图片 URL 里前加空格。
![]( https://justyy.com/jpg/justyy-ssl-grade-a.jpg)

Tokin

2016-11-08 08:26:04 +08:00

一波 IP 送上，不过很难相信一个 ssl 弄一晚- -。。。那么多教程，应该几十分钟就弄伤了才对。。。

viko16

2016-11-08 08:26:59 +08:00 via Android

@justyy 别试了，回复本来就不支持 markdown 。加空格的规则是中英文数字之间补，可以搜下盘古之白

eoo

2016-11-08 08:44:08 +08:00 via Android

我这超级菜鸟上 SSL 也不过半个小时。。。。

你居然要一个晚上

wensonsmith

2016-11-08 09:16:16 +08:00

@dynaguy 哈哈哈，这个有啥砸场子的。刚弄好也没优化。也是了解的没那么深，所以觉得弄好没有想象中那么复杂。这个 F 确实得搞一搞

wensonsmith

2016-11-08 09:21:09 +08:00

@JohnLou 这个就是官方推荐的工具呀

@justyy 这个是免费的么？那挺好

@BXIA 是的， SSL 中的吊车尾 XD

@onlyhot
@eoo
只能说我是超级菜鸟中的 VIP 了。。。主要是 NGINX 配置花了不少时间，不知道 WWW 跳转 NON-WWW 的 SERVER, 也得写上 SSL 的配置

@Tokin 我要这 IP 真的不到一丝的快意。。。因为又没有广告能赚钱 :(

wensonsmith

2016-11-08 09:21:35 +08:00

@anjunecha 谢谢大神指点！么么哒~

wensonsmith

2016-11-08 09:23:23 +08:00

@zqcolor certbot 也很方便，我主要时间都花在 NGINX 配置上了： sad

smilenceX

2016-11-08 09:24:58 +08:00

@dynaguy 感谢分享这个评级的站，涨知识了，我也有的折腾了。

wensonsmith

2016-11-08 09:29:29 +08:00

@justyy
@lisonfan

厉害了我的哥

lianxiaoyi

2016-11-08 09:32:08 +08:00

哈。。。博客也搞 https 。。。。。。这纯粹只是为了装逼吧。。。。。

whx20202

2016-11-08 09:33:37 +08:00

@dynaguy 感谢分享这个网站哈

SourceMan

2016-11-08 09:34:59 +08:00

@lianxiaoyi 理论上来说，是的，我也这么做。。。

楼主记得上 HTTP/2 更简单

lslqtz

2016-11-08 09:35:43 +08:00 via iPhone

日经贴。。。

xss

2016-11-08 09:44:28 +08:00

你的关于页 404 了

anjunecha

2016-11-08 09:49:27 +08:00 via iPhone

我推荐你去尝试一下 caddy ，比起 nginx 更适合你这个需求

wobuhuicode

2016-11-08 09:50:50 +08:00 via iPhone

真的不需要一个晚上……一个小时就能搞定了……

RobertYang

2016-11-08 09:56:16 +08:00 via Android

@lianxiaoyi 主要还是为了 HTTP2 还有装逼（逃

arens

2016-11-08 09:57:34 +08:00

https://www.ssllabs.com/ssltest/analyze.html?d=seekbetter.me

安全系数有点低啊

likuku

2016-11-08 09:58:50 +08:00

@dynaguy 哈哈， F ...折腾一晚上，还不如不用 https ，省下折腾的时间精力。

wensonsmith

2016-11-08 10:13:29 +08:00

@lianxiaoyi 你的世界里面装逼有这么重要？都说了为了练手

wensonsmith

2016-11-08 10:14:55 +08:00

@likuku 折腾是种乐趣，和 A+ 或者 F 无关

chenyg32

2016-11-08 10:19:09 +08:00

前 2 天在大神的指点下我也上了。为楼主的分享精神点赞

wensonsmith

2016-11-08 10:21:57 +08:00

@xss 哈哈哈，这叫做查无此人啊。。。

ylsc633

2016-11-08 11:21:59 +08:00

几个月前在 phphub 上看到有人分享这个!

于是动手把自己的博客也加了一个!不为啥!就看小绿锁很好看!

https://www.iphpt.com/detail/42
https://www.iphpt.com/detail/43

页面很慢,刷新下就可以了!1M 带宽..且图片忘记传七牛了..

部分页面没有绿是因为多说的插件不是 https 的! 所以能用,但不是绿色!

ianzhou233

2016-11-08 11:33:35 +08:00 via Android

全站 https,图片调用如何解决？存储在七牛这些云里面？

aixiaoge

2016-11-08 11:51:00 +08:00

我用 cloudflare ，也把它变绿了

lslqtz

2016-11-08 11:51:51 +08:00

@ianzhou233 图片调用除了首页可以直接无视，首页可以在输出前替换或者批量替换数据库。
外链图片可以保存到本地。
https://www.tzcos.com
目前首页的图片都是 https ，但是进了文章页居然变成 http 了，我也不清楚是什么原因。。

lslqtz

2016-11-08 11:54:03 +08:00

@ylsc633 这个不是多说的问题哦，是微博图床的问题。
Mixed Content: The page at 'https://www.iphpt.com/detail/42' was loaded over HTTPS, but requested an insecure image 'http://tp1.sinaimg.cn/1959615452/50/5659801384/1'. This content should also be served over HTTPS.
jquery.min.js:3 Mixed Content: The page at 'https://www.iphpt.com/detail/42' was loaded over HTTPS, but requested an insecure image 'http://tp4.sinaimg.cn/2439435851/50/5675811320/1'. This content should also be served over HTTPS.
jquery.min.js:3 Mixed Content: The page at 'https://www.iphpt.com/detail/42' was loaded over HTTPS, but requested an insecure image 'http://tp1.sinaimg.cn/1959615452/50/5659801384/1'. This content should also be served over HTTPS.

lslqtz

2016-11-08 11:54:55 +08:00

@ylsc633 我发现是多说头像的微博图床问题。

Technetiumer

2016-11-08 11:58:59 +08:00

https://void-fm.ga 可惜不是绿

另外阿里云有免费的 Symantec 证书了
https://common-buy.aliyun.com/?commodityCode=cas#/buy

youyoulemon

2016-11-08 12:03:39 +08:00

https://imququ.com/post/my-nginx-conf.html
https://imququ.com/post/letsencrypt-certificate.html
参考资料，
实在看不下去你这一晚上的成果#手动滑稽

Technetiumer

2016-11-08 12:03:59 +08:00

@lslqtz
@ylsc633
微博明明支持 https ，看来还是多说的问题， Disqus 就似乎没问题

ibnf

2016-11-08 12:05:51 +08:00

About me 404

lslqtz

2016-11-08 12:06:17 +08:00

@Technetiumer 微博部分情况下使用 https 会出现证书错误，多说可能也是因为这个不敢用。

Technetiumer

2016-11-08 12:12:46 +08:00

@lslqtz 新浪使用的部分 CDN 给新浪签发了合用的证书，比如网宿、 CDNetworks 。部分 CDN 没有，比如阿里，于是。。。。。
不过新浪有个 HTTPS 专用域名，只有网宿 CDN ，不知道头像图片有没有

iA7489

2016-11-08 12:13:45 +08:00 via iPhone

acme.sh

墙裂推荐

lslqtz

2016-11-08 12:16:34 +08:00

@Technetiumer 专用域名我倒不清楚是哪个。。
说实话，这些人一般是微博接入所以直接用微博图片吧，如果拉源过来就好了。
首页不加载多说的话没什么影响，几张图片而已，脚本和自己站的不被加载就 ok 。

uncleroot

2016-11-08 12:26:52 +08:00 via Android

@wensonsmith 主要是有几个不安全的协议导致评分低的，禁用 sslv3 rc4 应该差不多了。
还有不少提升速度的可以折腾
OSCP Stapling ， ecc 证书， http/2,甚至 hsts 尤其是 http/2,为兼容 chrome 的 alpn 可能还需要自己编译 nginx.
推荐看看这里的相关教程
imququ.com 。

wensonsmith

2016-11-08 12:27:58 +08:00

@ylsc633 博客挺漂亮的~

@ianzhou233 七牛有 https 的地址，主题的图片资源都是服务器本地的，写文章的时候用 Https 地址图片就没问题了

@youyoulemon 哈哈哈，我是人笨而不自知呀

@iA7489
@Technetiumer 这是个好东西啊

wensonsmith

2016-11-08 12:30:04 +08:00

@uncleroot 多谢指导，我在花一晚上时间优化优化~~ imququ.com 这个博客很吊啊，在很多贴见过