是时候来了解下 HTTPS 网站的部署了

最新推荐文章于 2024-06-21 17:07:44 发布
最新推荐文章于 2024-06-21 17:07:44 发布
阅读量2k 收藏 2
点赞数 1
文章标签: 操作系统 运维
原文链接:https://juejin.im/post/5c4d69056fb9a049b3485c4d
版权
本文介绍了 HTTPS 网站的部署,包括 HTTPS 反劫持的原理、自签名 SSL 证书的获取,以及 Let's Encrypt 证书的申请和使用过程。通过手动部署,读者能理解 SSL 证书在网络安全中的重要性,同时掌握如何为个人网站启用 HTTPS。
摘要由CSDN通过智能技术生成

2018 年的最后一个月,我终于决定给自己 3 年前申请的域名搞个 SSL 证书,让网站可以上车 HTTPS。免费、适合个人网站(玩票)的 SSL 证书方案,首选 Let's Encrypt。但是与一开始「一小时搞定」的预期不同,最终完成整件事情花了我一个周末的时间,还是有必要记录下来。

背景

当然 HTTPS 是大势所趋,但因为懒自己并没有真正地搞过 SSL 证书、部署 HTTPS 网站。终于痛下决心部署 HTTPS 是源于自己想要在自己申请的腾讯云 VPS 主机上部署一套 jenkins 站点,而因为我域名没有在国内备案,导致使用域名访问时被腾讯云限制不可访问。 从个人开发者手动部署一个可运行网站的方案说起:

  1. 事先准备
    • 一个可通过公网 IP 访问的云主机作为服务器,以我个人云主机 IP 为例:118.24.121.85
    • 在域名商所购买的域名,以我个人域名为例:myan.im
  2. 通过 ssh 登录到服务器,手动安装并启动 Nginx 服务
  3. 在域名商网站上添加一条 A 类型的 DNS 记录,将域名 c.myan.im 指向以上 IP 地址
    • 配置成功后,通过 ping 命令即可检查 DNS 生效

完成第 2 步后,我们就已经可以通过 IP 和端口(默认 80)直接访问网站,验证也通过。

curl http://118.24.121.85
复制代码

完成第 3 步后,本来期望的表现是访问 http://c.myan.im 也有同样的表现,但很不幸:

通过 curl 检查也可发现,http 请求返回的是 302 头,Location 头为 dnspod.qcloud.com/static/bloc…

> curl http://c.myan.im -v

< HTTP/1.1 302
< Location: https://dnspod.qcloud.com/static/block.html?d=c.myan.im
复制代码

总算见识到了网站不备案的后果!可见我们把个人网站域名解析到国内主机,没有问题。但如果网站没有备案,对不起门都不让你进?。

至于技术上如何实现,其实这就是典型的 HTTP 劫持问题,站在腾讯云的角度思考:

  1. HTTP 请求发起,路由到 Web Server 的服务器 IP,要经过腾讯云的网络
  2. 请求链路到达腾讯云主机前,腾讯云可以 获取 HTTP 请求详情
  3. 腾讯云读取报文 Host,检查是否备案;如未备案,则直接返回 302 重定向状态,请求未触发服务器相应的 IP:PORT
  4. 浏览器收到 302 并跳转到 Location 指定地址

问题出现在第 3 步,因为 HTTP 是明文传输协议,意味着不光腾讯云,甚至客户端到服务端网络链路上的任何一个环节,都可以读取 HTTP 报文内容。

HTTP 劫持案例

  1. 运营商劫持网页,插入流量包广告
  2. Charles 代理修改请求,修改返回值
  3. 路由器修改 User-Agent 头,导致 bug

HTTPS 反劫持

原理

从基本原理上讲,HTTPS 可以说是 HTTP 与 SSL/TLS 协议的结合。在进行应用层的报文传输前,要通过 TLS 协议建立加密会话。

当然这个图的握手原理并不是本文的重点,我们关注的是所谓证书在 SSL 连接中的作用。在 Let's Encrypt 的工具 certbot 文档页,他们这样解释什么是证书:

A public key or digital certificate (formerly called an SSL certificate) uses a public key and a private key to enable secure communication between a client program (web browser, email client, etc.) and a server over an encrypted SSL (secure socket layer) or TLS (transport layer security) connection. The certificate is used both to encrypt the initial stage of communication (secure key exchange) and to identify the server. The certificate includes information about the key, information about the server identity, and the digital signat

最低0.47元/天 解锁文章
weixin_34274029
关注
K8s(二十一):在 Kubernetes 集群中部署 MySQL8.0 高可用集群(1主2从)
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-16 1万+
🔴 K8s(二十一):在 Kubernetes 集群中部署 MySQL8.0 高可用集群(1主2从)
【云原生】docker 部署 Doris 数据库使用详解
最新发布
congge
09-08 4849
docker 部署 Doris 数据库使用详解
创建与部署HTTPS网站
C872100661的博客
03-12 313
基本步骤: 1.使用 java创建一个keystore文件 2.配置 Tomcat以使用该 keystore 文件 3.测试 4.配置应用以便使用 SSL,例如https://localhost:8443/web-app-name 1.创建 keystore文件 执行keytool -genkey -alias tomcat...
Nginx部署https网站
cbmljs的博客
03-21 631
Nginx是一款高性能的网站服务器和反向代理服务器,同时也是一个IMAP、POP3、SMTP等邮件代理服务器;nginx可以作为一个网站服务器进行网站的发布处理,另外nginx可以作为反向代理实现负载均衡的。本文介绍如何在centos6.9环境中,利用Nginx部署https网站,并配置地址重写。 1.环境准备:centos7.0主机一台,关闭防火墙和Selinux 安装依赖包:yum -y ...
HTTPS_二十二 nginx HTTPS 部署实战
bozuris的博客
06-21 502
域名申请地:外网(阿里)、新网(腾讯)这里我们去腾讯云选购一个属于自己的域名。
部署 HTTPS 访问 ( https:// )
weixin_30460489的博客
03-04 1485
简单来说,HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全。 http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。 HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全,为了保证这些隐私数据能加密传输,于是网景公司设计了SSL(Secure Sockets Lay...
HTTPS部署(基于阿里云)
Redamancy_Xun的博客
05-03 2354
域名(通过ICP备案)、阿里云ECS服务器(域名解析)
https服务部署指南
pengrui18的专栏
12-06 2749
如何在本地部署一套基于tls加密的服务
全站 HTTPS 来了
腾讯Bugly的专栏
12-25 1866
各位使用百度、谷歌或淘宝的时候,有没有注意浏览器左上角已经全部出现了一把绿色锁,这把锁表明该网站已经使用了 HTTPS 进行保护。仔细观察,会发现这些网站已经全站使用 HTTPS。同时,iOS 9 系统默认把所有的 http 请求都改为 HTTPS 请求。随着互联网的发展,现代互联网正在逐渐进入全站 HTTPS 时代。 全站 HTTPS 能够带来怎样的优势?HTTPS 的原理又是什么?同
docker入门(利用docker部署web应用)
热门推荐
仰望星空
05-26 41万+
前言:本课程是在慕课网上学习 第一个docker化的java应用 课程时所做的笔记,供本人复习之用 目录 第一章 什么是docker 1.1 docker的发展史 1.2 docker国内应用史 1.3 什么是Docker 第二章 了解docker 2.1 docker思想 2.1.1 集装箱 2.1.2 标准化 2.1.3 隔离 2.2 docker解决的问题 2.2.1...
部署 - 前端部署https服务,并配置安全证书
Jim Suen
12-13 5171
项目中要实现跨tab复制 剪切 粘贴,所以涉及到操作剪切板的操作,选用了navigator.clipboard,但是该api有必须在https的服务下才能用,所以就需要把项目部署https服务。 vue-cli中可以配置webpack达到启动https服务的效果,但是一直会有不安全的提示: 这多膈应人啊,搞他! 所以就搞起了安全证书。 获取安全证书 前提,首先要有个域名,然后在SSL for f...
web服务器之——搭建基于https协议的静态网站
weixin_51525416的博客
12-18 2817
web服务器之——搭建基于https协议的静态网站
ssl(https部署指南
Know More
11-06 1万+
Author:Chinvi/lujw 一、  相关介绍 1.       HTTPS: 在http(超文本传输协议)基础上提出的一种安全的http协议,因此可以称为安全的超文本传输协议。 http协议直接放置在TCP协议之上,而https提出在http和TCP中间加上一层加密层。从发送端看,这一层负责把http的内容加密后送到下层 的TCP,从接收方看,这一层负责将TCP送来的数据解密还原成
HTTPS 原理及部署
Web分享
10-10 291
HTTP 和 HTTPS 如果你之前了解过计算机网络,那么你一定听说过 HTTP 协议。HTTP 协议的全称为 HyperText Transfer Protocol,即超文本传输协议。 HTTP 协议位于 OSI 七层网络模型中的第七层——应用层。Web 服务器上的所有资源的传输都遵守该协议,用户通过浏览器进行资源的查看和下载。 RFC 2616 定义了 HTTP 1.1。 简单回顾一下 HTT...
网站安全之HTTPS部署解决方案
码农飞上天
03-04 4239
网站安全之HTTPS部署解决方案 HTTPS全称为Hypertext Transfer Protocol over Secure Socket Layer,中文含义为“超文本传输协议在安全加密字层”,简单来说就是加密数据传输,通俗的说就是安全连接。 它是一个安全通信通道,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。 它使用安全套接字层(SSL)进行信息交换
如何给网站配置https
omage的专栏
05-25 212
阿里云或腾讯云这类的大网站一般都会提供免费的SSL证书,有效期一年,可以直接在它官网控制台上申请 关于https证书的部署 (nginx) https://help.aliyun.com/document_detail/98728.html?spm=a2c4g.11186623.6.629.6c5365fcxWiOzT#section-wy0-022-q1s 未完待续 ...
手把手带你免费部署https
TIME2016的博客
08-20 3798
目录: https概述 申请免费ssl证书流程 部署https 1、https概述 HTTP HTTP(HyperText Transfer Protocol:超文本传输协议)是一种用于分布式、协作式和超媒体信息系统的应用层协议。 简单来说就是一种发布和接收 HTML 页面的方法,被用于在 Web 浏览器和网站服务器之间传递信息。 HTTP 默认工作在 TCP 协议 80 端口,用户访问网站 http:// 打头的都是标准 HTTP 服务。 HTTP 协议以明文方式发送内容,不提供任何方式的数据加密,如
【Nginx⭐003】Nginx配置https协议部署过程
12-28 375
server { listen 443 ssl; server_name wangchangyu.run; ssl_certificate "/etc/nginx/conf.d/cert/4477003_www.wangchangyu.run.pem"; ssl_certificate_key "/etc/nginx/conf.d/cert/4477003_www.wangchangyu.run.key"; ssl_session_cache shared:SSL.
VOS3000在部署的时候,部署的步骤是?难点在哪里?需要注意哪些?
05-17
VOS3000是一款企业级软交换平台,可用于VoIP呼叫中心、呼叫服务提供商(CSP)等场景。...4. 了解VOS3000的功能和配置:在部署前需要对VOS3000有一定的了解,熟悉其功能和配置,以便更好地进行部署和维护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值