从http到https

2016-05-27 高悦翔 更多博文 » 博客 » GitHub »

原文链接 http://blog.gaoyuexiang.cn/From_Http_to_Https/
注:以下为加速网络访问所做的原文缓存,经过重新格式化,可能存在格式方面的问题,或偶有遗漏信息,请以原文为准。

这个五一折腾了下https,看了加密的建立过程和原理,然后动手实践,把博客从不支持https的阿里云虚机上搬到了新买的腾讯云的主机上,配好了https,这里记录一下。

<!--more-->

加密连接建立过程与原理

这个部分不想自己写了,参见 sf 上的这篇文章就很容易理解。

我的理解

https并不是一个全新的协议,而是一个组合的协议,是sslhttp组合而来的,其模型如下图 alt text

不难发现其实https就是在ssl连接的基础上对http报文进行加密后发送。通过抓包,我们不难发现这一点:

segmentfault.com为例,用wireshark抓取发送的数据包 用http关键字进行筛选: alt textip.addr关键字进行筛选 alt text

从截图可以看出:

  • 数据包的抓取并不能获取到http协议的任何信息,哪怕是URL也不行
  • 通过ip地址获取到的数据包,应用层协议是SSL,在协议的报文中包含加密数据包的协议,加密协议的版本等信息,但无法获取原始报文

按照这个逻辑,我们就可以对所有应用层的协议进行加密工作,比如sftp。另外,最让码农感觉幸福的是,只要服务器做好配置,我们不需要修改代码,只需要修改接口的协议,其加密过程对于程序来说是透明的。

letsencrypt

Let's Encrypt 是一个提供免费SSL证书的项目,托管在github上: https://github.com/letsencrypt/letsencrypt

有了这个项目,我们可以方便的把自己的站点升级成为https

然而,这个项目提供的证书默认有效期是 90 天,我们需要定期的更新证书,或者写个脚本,定时执行。

实战

准备工作

在获取证书的时候,需要使用 80 和 443 端口,所以需要先关闭占用这两个端口的程序

# systemctl stop nginx.service

获取letsencrypt

# git clone https://github.com/letsencrypt/letsencrypt
# cd letsencrypt
# ./letsencrypt-auto -h

最后一个命令会帮助解决项目的依赖问题

获取证书

上一个命令结束后会打印出一些使用的帮助信息,可以根据帮助信息选择需要的参数。

因为我的站点部署在nginx上,所以使用如下命令:

# ./letsencrypt-auto certonly --standalone --email melo@gaoyuexiang.cn -d gaoyuexiang.cn -d www.gaoyuexiang.cn

如果得到如下信息则说明证书已经正确获得了:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/gaoyuexiang.cn/fullchain.pem. Your cert will
   expire on 2016-08-01. To obtain a new version of the certificate in
   the future, simply run Let's Encrypt again.
 - If you like Let's Encrypt, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

配置nginx

nginx的配置能够在网上找到很多资料,这里我就把我的与ssl相关的配置贴出来

#https配置
server{
  listen                     443 ssl;
  root                       /opt/wordpress;

  ssl_certificate            /etc/letsencrypt/live/gaoyuexiang.cn/fullchain.pem;
  ssl_certificate_key        /etc/letsencrypt/live/gaoyuexiang.cn/privkey.pem;
  ssl_protocols              TLSv1 TLSv1.1 TLSv1.2;
  ssl_prefer_server_ciphers  on;
  ssl_ciphers                AES256+EECDH:AES256+EDH:!aNULL;

  ...
}
# 强制使用https
server {
  listen           80;
  server_name      gaoyuexiang.cn;

  #强制将 http 访问转发到 https
  rewrite ^/(.*) https://$server_name$1 permanent;
}

配置完成,启动nginxphp-fpm

# systemctl start nginx.service
# systemctl start php-fpm.service

然后访问自己的站点,发现已经能够强制使用https了。

wordpress还有一些设置需要调整,把以前使用http链接本站资源的地方给改过来,如站点URL、主题使用的图片等信息