网站添加HTTPS证书

改造原因

HTTPS改造原因:最近做微信支付宝小程序的时候,小程序访问服务器的地址要求是https的,为了小程序,同时也为了增强服务器域名访问的安全性,开始进行https改造,添加ssl证书实际上就是多监听一个443的端口.

改造步骤

改造的主要分为三个步骤:申请/购买证书,安装证书,配置转发

1.购买证书

免费证书的申请有很多种方式,我这里使用的阿里云的,因为主要测试使用.登录阿里云控制台,搜索SSL’点击搜索或者下拉框中的第一个SSL证书选项进入到证书页面.



点击购买

勾选下协议,支付下就可以了,购买证书在我们证书控制台就会有一个证书列表出现,

2.绑定域名

由于之前我们购买证书的时候是没有绑定域名的,所以要把证书和我们的域名进行绑定下.点击证书列表中的证书申请回出现绑定域名界面

• 证书绑定域名
  填写的域名类型要与您购买证书时选择的域名类型一致。如果绑定的是通配符域名，填写域名时一定要加上通配符号*。例如：*.yourwebsite.com。通配符域名填写注意国外域名中.jp域名不支持签发。
  如需保护政府机构专用.gov域名和教育机构.edu域名，只能购买OV或EV证书。此类特殊域名不支持DV证书。
• 申请人手机号码 请填写正确，签证中心人员会拨打该电话号码确认证书认证相关的信息。
• 申请人邮箱 请填写正确，证书提交审核后CA中心将会向您的邮箱发送验证邮件，请注意及时查收。
  说明 请确保您填写的邮箱地址能有效接收邮件。
• 域名验证方式
• 这个要根据您的域名DNS服务商来确定,如果域名解析用的不是阿里云解析,那就需要选择手动DNS
• CSR生成方式
  自动生成：在阿里云购买的域名请选择此选项。
  手动生成：非阿里云域名请选此选项。

3.添加域名解析

我这边的域名是是其他服务商解析的,不在阿里云上解析,所以我这边需要在域名解析中添加添加域名解析,在证书控制台订单列表中选择您已提交审核申请的证书订单，单击进度，即可查看域名授权配置相关信息,如需要配置的DNS的主机记录、记录值和记录类型,如下界面:

需要在DNS解析中添加一条记录,按照上边红色框线中的内容添加即可,如下,主机记录,记录类型(txt),记录值,都要和上边的途中保持一致,一个字符都不能错.

添加完保存后,DNS解析生效需要一段时间,每个DNS服务商需要的时间都不一样.我这边大概是10分钟.

4.等待证书审核通过

证书记录值解析通过后,阿里云开始进入到证书审核流程,这个时间现在大概是一个工作日左右,不过也有快的时候,最近我这边申请的免费证书一个小时就通过审核了.,所以还是经常看下为好.

5.安装证书

证书审核通过后,证书订单列表会显示出下载选项.状态是已签发.如下:

根据需要将证书下载下来安装到服务器即可.

下载完成后,放置到服务器对应目录,如果是nginx,需要配置下nginx.具体配置可以点击上图中的帮助
查看详细信息
核心配置主要是如下内容:

server {
	listen 443 ssl;   #SSL协议访问端口号为443。此处如未添加ssl，可能会造成Nginx无法启动。
	server_name XXXXX;  #将XXXXXX修改为您证书绑定的域名，例如：www.example.com。
	root html;
	index index.html index.htm;
	ssl_certificate cert/domain name.pem;   #将domain name.pem替换成您证书的文件名。
	ssl_certificate_key cert/domain name.key;   #将domain name.key替换成您证书的密钥文件名。
	ssl_session_timeout 5m;
	ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;  #使用此加密套件。
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2;   #使用该协议进行配置。
	ssl_prefer_server_ciphers on;   
	location / {
		......  
	}
}