配置完全免费的https服务器

配置完全免费的https服务器

最近想开发一个微信小程序,使用微信官方提供的开发工具,UI部分处理很方便,但涉及调用后台时,后台服务器要求是https的合法域名(如下图)。
微信小程序要求的域名
开发阶段,不想浪费钱,因此找办法配置https服务器。

  • 当前情况、问题及解决方案
    我的后台是centos 7+jdk 1.8+tomcat 9.0.11,位于公司内网,没有公网IP(公司内网的公网出口IP是变化的)、域名和证书。
    注:我的服务器的内网IP为:192.168.1.230
    那么,为了配置可用的https服务器,我需要解决如下几个问题:
    1.我的网站需要一个域名,通过该域名可以访问到我的服务器(类似于花生壳)
    2.Https需要的ssl证书
    为解决上述问题,准备采用frp来实现免费域名+内网穿透,采用Let’s Encrypt1提供的免费ssl证书
  • 实现思路

    1.使用frp申请一个域名,协议:http,用于后面申请ssl证书时使用。
    2.使用certbot-auto申请Let’s Encrypt提供的免费证书。
    3.申请证书成功后,配置tomcat的https参数使用刚申请的证书
    4.调整frp配置,由http改为https。
    5.测试
    6.配置微信小程序的合法域名

  • 实现步骤

第一步:申请一个免费的域名,且能够支持内网穿透

目前,提供免费域名的站点有很多,但支持内网穿透且免费的不多,我使用的是frp,frp的官网在:https://github.com/fatedier/frp。您可以再此获得程序和相关文档。
frp提供了frps(服务器端)和frpc(客户端)两种部署模式。我要使用的是frpc。
1.确定frps服务器
网上frps服务器有很多,这里提供一个查看的地址:http://www.frps.top/
确定frps服务器时需要注意服务器使用的软件版本号和开放的端口。
软件版本号决定了你要使用的frpc的软件版本(可以从官网下载),您的应用所需的端口号要和站点开放的端口匹配。
我选择的是:http://freenat.win,软件版本:0.16.1
2.从官网下载对应版本的程序
步骤如下:
A:选择版本
第一步
B:确定下载目标
第二步
3.解压缩
tar -zxvf frp_0.16.1_linux_amd64.tar.gz
解压缩后的文件列表
文件列表
4.配置frpc
使用frpc,配置文件为frpc.ini。文件中各项参数的说明请见:http://www.chuantou.org/47.html
我的frpc.ini配置

[common]
server_addr = freenat.bid  #frps服务器
server_port = 7000  #frps服务器端口
privilege_token = frp888  #客户端连接到FRPS服务端的验证密钥
log_file = frpc.log  #日志文件位置和名称
log_level = info  #日志等级,trace, debug, info, warn, error
log_max_days = 7  #日志保存天数
login_fail_exit = false  #frpc连接frps失败后是否重连,true:重连
protocol = kcp  #连接frps服务端的通讯协议,可选:tcp、kcp。具体使用哪个,需要看站点说明

[http_FrpcTest2018]  #希望申请的域名[2]
type = http  #协议
local_ip = 127.0.0.1  #站点所在服务器的地址[3]
local_port = 8080  #站点使用的端口
use_compression = true  #frpc和frps之间的通信是否压缩[4]
use_encryption = true  #frpc和frps之间的通信是否加密[4]
custom_domains = FrpcTest2018.freenat.bid  #申请的域名

其中:
http_FrpcTest20182
local_ip3
use_compression4
use_encryption5
5.启动

# ./frpc -c ./frpc.ini &  #后台模式

6.测试
浏览器中输入域名“http://FrpcTest2018.freenat.bid”测试
frpc测试

第二步:使用刚刚申请的域名申请证书
我使用CertBot申请Let’s Encrypt免费ssl证书,官网地址:
Let’ Encrypt官网:https://letsencrypt.org/
CertBot官网:https://certbot.eff.org/
1.下载CertBot-auto

# wget https://dl.eff.org/certbot-auto

2.修改权限

# chmod a+x certbot-auto

3.创建验证所需目录
Let’s Encrypt申请过程中,会访问你的站点,并在站点上写入一些测试文件。这样就要求必须在申请前提前创建这些目录。
目录的位置:站点根目录/.well-known/acme-challenge

# mkdir -p /home/tomcat-9.0.11/webapps/.well-known/acme-challenge

4.申请证书

# ./certbot-auto certonly --webroot -w /home/tomcat-9.0.11/webapps/ -d FrpcTest2018.freenat.bid

4.1 此后会自动下载安装一堆程序,确认即可。
确认安装
4.2 登记到期通知或安全警告时使用的邮箱
联系邮箱
4.3 同意使用协议
使用协议
4.4 是否共享邮箱
这里写图片描述
5.证书
申请成功,证书将存放在/etc/letencrypt/live/站点域名/目录下,如下图:
申请成功

第三步 配置tomcat的https参数
从Let’s Encrypt申请的证书是pem格式。tomcat使用这种格式的证书需要apr、openssl、tomcat-native等一大堆支持,太麻烦,因此决定将其转换为tomcat使用的JKS格式,如下:
1.转换格式

1.1 pem转换为pfx
# openssl pkcs12 -export -out /home/ssl/FrpcTest2018.pfx -in /etc/letsencrypt/live/frpctest2018.freenat.bid/fullchain.pem -inkey /etc/letsencrypt/live/frpctest2018.freenat.bid/privkey.pem 
Enter Export Password: [输入您的密码]
Verifying - Enter Export Password: [输入您的密码]
1.2 pfx转换为jks
# keytool -importkeystore -srckeystore FrpcTest2018.pfx -destkeystore FrpcTest2018.jks -srcstoretype PKCS12 -deststoretype pkcs12
Importing keystore FrpcTest2018.pfx to FrpcTest2018.jks...
Enter destination keystore password:  [输入您的密码]
Re-enter new password: [输入您的密码]
Enter source keystore password:  [输入您的密码]
Entry for alias 1 successfully imported.
Import command completed:  1 entries successfully imported, 0 entries failed or cancelled

至此,格式成功由pem转换为JKS。

2.拷贝证书到tomcat目录下

# cp /home/ssl/FrpcTest2018.jks /home/tomcat-9.0.11/ssl/.

3.配置tomcat的server.xml文件
在文件中增加如下内容:

 <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"  
        maxThreads="150" scheme="https" secure="true"  
        clientAuth="false" sslProtocol="TLS"   
        keystoreFile="/home/tomcat-9.0.11/ssl/FrpcTest2018.jks"  
        keystorePass="您的密码" />

4.重启tomcat

#./home/tomcat-9.0.11/bin/shutdown.sh
#./home/tomcat-9.0.11/bin/startup.sh

5.测试
在浏览器中输入https://192.168.1.230:8443,结果页面如下:
内网HTTPS
注意:
1.此时的地址与申请证书时使用的地址(FrpcTest2018.freenat.bid)不同,因此会出现警告,不用理会。
2.此时http://域名/仍然可以使用

第四步 修改frp配置,使https穿透内网
1.修改frpc.ini
将前面的frpc.ini内容修改为如下:

[common]
server_addr = freenat.bid
server_port = 7000
privilege_token = frp888
log_file = frpc.log
log_level = info
log_max_days = 7
login_fail_exit = false
protocol = kcp

[http_FrpcTest2018]
type = https  #修改为https,使得https可以穿透内网
local_ip = 127.0.0.1
local_port = 8443  #https端口
use_compression = true
use_encryption = true
custom_domains = FrpcTest2018.freenat.bid

2.重启frpc服务

# ps -ef|grep frpc
root       8520    983  1 17:09 pts/0    00:01:11 ./frpc -c ./frpc.ini
root       9173    983  0 19:03 pts/0    00:00:00 grep --color=auto frpc
# kill -9 8520
[1]   Killed                  ./frpc -c ./frpc.ini
# /home/frp/frpc -c /home/frp/frpc.ini &

3.测试
此时,http://FrpcTest2018.freenat.bid/无法访问
http无法访问
https://FrpcTest2018.freenat.bid/则可以访问
https访问成功

至此,微信小程序要求的合法域名站点侧配置完毕。可以使用小程序账号登录微信公众平台,配置合法域名了。

最后,多啰嗦两句。
第一,到现在,公网可以访问的服务只有https,私网可以访问的包括http和https。
第二,后续如果想完全禁止http访问,在tomcat的server.xml文件中注释掉http端口(8080)即可。



  1. Let’s Encrypt提供的域名是免费的,有效期3个月,允许续期
  2. freenat.win的域名为二级域名,例如:FrpcTest2018.freenat.bid。最好多写一些,以免与其他申请冲突。
  3. 如果站点在其他服务器上,填写那个服务器的IP地址。注意:站点服务器要和frpc所在的服务器在一个局域网内
  4. 根据frps服务器要求决定
  5. 根据frps服务器要求决定
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

bright69

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值