从目前来看,HTTPS已经是大势所趋,并且google将对HTTPS的站点给予较高的权重,想到namecheap还有一个免费的SSL证书,于是HTTPS走起来。
购买SSL证书有很多选择,就不赘述了,买了之后,要生成自己域名的CSR,可以参考以下步骤:
https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/1/19/csr-generation-using-openssl-apache-wmod_ssl-nginx-os-x
然后把生成的CSR提交到网站,然后进行身份验证,不同的商家可以提供不同的方式,比如DNS和上传文件等等,等验证完之后,就可以拿到你的SSL证书了,通常有两个文件,一个是你的SSL证书,一个是你CA的证书链文件,文件名包含bundle关键字,具体安装以nginx为例,可以参考以下教程,之所以推荐,是因为这个配置禁用了很多弱加密算法,不像网上的某些教程太笼统完全没在意安全性,也仅仅是配完能用而已。
https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/789/37/
配置完毕开放防火墙后,应该是能从HTTPS访问网站了,可是还有很多升级工作需要做,首先修改nginx配置文件把原来的所有HTTP请求重定向到HTTPS,以nginx为例:
server {
listen 80;
server_name xx.com;
rewrite ^ https://www.xx.com$request_uri? permanent;
}
server {
listen 80;
server_name www.xx.com;
rewrite ^ https://www.xx.com$request_uri? permanent;
}
然后去到WordPress的设置里面,将网站域名修改一下:
OK,访问也正常了,就是还有一些文章里的图片还未改为HTTPS,导致浏览器没有小绿锁啊,这不能忍啊,需要去到数据中替换一下,安装一个插件叫做”
Better Search Replace",然后在post表中,将所有的
src="http://
替换为:
src="//
操作完毕之后,完美收工。
配置完成后,还有安全性问题,由于之前没有使用HTTPS,很多系统组件或者配置的版本都很旧,导致现在开启了HTTPS访问后,存在例如心脏出血等安全问题,这时候需要做一个有关SSL的安全扫描,QUALYS提供了一个免费的安全性评估扫描器:
https://casecurity.ssllabs.com
扫描之后根据结果进行修复,最终得到A,完美~
阅读:164017 | 评论:0 | 标签:技术分享 网络安全 Nginx openssl 扫描
