---

title: 10分鐘開啟全站https date: 2018-05-25 16:03:31 tags:

• https
• ubuntu

---

持續(xù)了1個多月的備案，今天收到短信終于下來了。

上篇水文，大概的記錄了作為前端利用gitlab.com利用gitlab-ci開啟CI自動部署。前端的gitlab的ci初嘗試。這篇文章就要開始記錄下我如何開啟https。

什么是https？

https 是什么，不是本文的重點，直接跳過，https 的好處在這里也不仔細講。

什么是 Let’s Encrypt？

部署 https 網(wǎng)站的時候需要證書，證書由 CA 機構(gòu)簽發(fā)，大部分傳統(tǒng) CA 機構(gòu)簽發(fā)證書是需要收費的，這不利于推動 https 協(xié)議的使用。Let’s Encrypt 也是一個 CA 機構(gòu)，但這個 CA 機構(gòu)是免費的！！！也就是說簽發(fā)證書不需要任何費用。

什么是全站https，也就是通配符證書？

域名通配符證書類似 DNS 解析的泛域名概念，通配符證書就是證書中可以包含一個通配符。主域名簽發(fā)的通配符證書可以在所有子域名中使用，比如 .example.com、bbs.example.com、bbs.example.com。 2018 年 3 月 14 日，Let’s Encrypt 對外宣布 ACME v2 已正式支持通配符證書。這就意外味著用戶可以在 Let’s Encrypt 上免費申請支持通配符的 SSL 證書。以前配置子域名也是需要每個域名單獨的申請證書的，意思是現(xiàn)在可以直接用*.example.com這個證書，讓全站實現(xiàn)https。

下面本文就簡單的記錄了我開啟全站https的步驟，10分鐘就能搞定，首先從blog子域名開始。

開始配置

準備工作

1. 一個頂級域名:peiqixin.com # 我這里用的是 2. 一臺自己的云服務器 # 我這里用的是我的那個小水管，之前在騰訊云擼的羊毛，6年360塊錢的服務器，我這里服務器的系統(tǒng)用的是ubuntu復制代碼

下面的所有操作都是在你的服務器上面，（我的服務器系統(tǒng)是ubuntu 16.04），其他的系統(tǒng)的操作也差不多。

添加一個blog域名解析

下載Nginx

安裝 nginx 。如果你已經(jīng)安裝可以跳過這步。

sudo apt-get update sudo apt-get install nginx 復制代碼

如果不會nginx的基本操作和基本配置,建議還是先去了解一下 nginx 的基本配置，比如如何的開啟一個web服務器，nginx的基本操作和編寫配置（不是必須）。

下載certbot客戶端

sudo add-apt-repository ppa:certbot/certbot sudo apt-get update sudo apt-get install python-certbot-nginx 復制代碼

安裝的時候一路 enter 就完事兒了。

獲取 Let’s Encrypt certificate

cerbot 提供 nginx 配置以幫助我們重新配置我們以前的 nginx 配置，以便我們可以使用我們即將獲得的 SSL 證書。

## 我的域名是peiqixin.com。這里要換成你要配置的域名 sudo certbot --server https://acme-v02.api.letsencrypt.org/directory --manual --preferred-challenges dns --installer nginx -d *.peiqixin.com -d peiqixin.com 復制代碼

然后又是一路的確定選擇確定就可以了。

但是請注意這一步，就暫時不要繼續(xù)enter了

請把這段token復制下來。 打開你的域名提供商，就是你之前買域名的地方。添加一個域名解析。

記錄選擇 選擇 TXT 主機記錄填入 _acme-challenge 記錄值就填入剛才你保存下來的token

點擊保存之后，certbot客戶端會去確定你是否在正確的添加了解析。

如果正確的添加了解析。 接下來

Which server blocks would you like to modify? ------------------------------------------------------------------------------- 1: File: /etc/nginx/sites-enabled/default Addresses: [::]:80 default_server, 80 default_server Names: _ HTTPS: No... ------------------------------------------------------------------------------- Select the appropriate numbers separated by commas and/or spaces, or leave input blank to select all options shown (Enter 'c' to cancel): 復制代碼

將呈現(xiàn)nginx配置中的服務器塊列表，供您選擇要將證書部署到的服務器塊。 反正我用不上，這里選擇cancel，輸入c，enter繼續(xù)。

接下來

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access. ------------------------------------------------------------------------------- 1: No redirect - Make no further changes to the webserver configuration. 2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for new sites, or if you're confident your site works on HTTPS. You can undo this change by editing your web server's configuration. 復制代碼

這一步就是讓你選擇是否將http流量重定向到建議的https。既然是全站https，所有的訪問都應該走https,選擇2，enter。提供與前一階段相同的列表，輸入c，按enter繼續(xù)。

接下來，當你看到下面的一段就表明你已經(jīng)配置好了。

請把

/etc/letsencrypt/live/peiqixin.com/fullchain.pem /etc/letsencrypt/live/peiqixin.com/privkey.pem 復制代碼

這2個地址記下來

配置nginx

sudo nginx -t 復制代碼

找到你的nginx配置文件的地址

sudo mkdir conf.d #創(chuàng)建一個配置nginx的目錄，不可能把所有的配置寫在一個文件里面，以后也不好維護 復制代碼

再在nginx的默認配置文件nginx.conf的http模塊里面添加

include /etc/nginx/conf.d/*.conf; #引入所有的配置文件 復制代碼

在conf.d文件夾里面創(chuàng)建一個index.conf，創(chuàng)建主配置文件負責監(jiān)聽80端口并轉(zhuǎn)發(fā)請求。

server {listen 80;server_name peiqixin.com www.peiqixin.com blog.peiqixin.com;rewrite ^(.*) https://$host permanent; } 復制代碼

創(chuàng)建https配置文件。創(chuàng)建各域名配置文件監(jiān)聽443端口（可以按域名分開，也可以寫一個文件里，我為了方便寫在一個文件里）

server {listen 443;server_name peiqixin.com www.peiqixin.com;ssl on;ssl_certificate /etc/letsencrypt/live/peiqixin.com/fullchain.pem; ## 這個就是你配置certbot最后一步要你記錄下來的地址ssl_certificate_key /etc/letsencrypt/live/peiqixin.com/privkey.pem;ssl_session_cache shared:SSL:10m;ssl_session_timeout 5m;ssl_ciphers HIGH:!aNULL:!MD5;ssl_prefer_server_ciphers on;location / {root /home/ubuntu/blog; ##這里我用hexo博客生成器生成的靜態(tài)html，js，css都放在了這個文件index index.html index.htm;}}server {listen 443;server_name blog.peiqixin.com;ssl on;ssl_certificate /etc/letsencrypt/live/peiqixin.com/fullchain.pem;ssl_certificate_key /etc/letsencrypt/live/peiqixin.com/privkey.pem;ssl_session_cache shared:SSL:10m;ssl_session_timeout 5m;ssl_ciphers HIGH:!aNULL:!MD5;ssl_prefer_server_ciphers on;location / {root /home/ubuntu/blog;index index.html index.htm;}} 復制代碼

退出保存。檢測一下nginx的配置是否有語法錯誤

sudo nginx -t 復制代碼

重啟nginx

訪問blog.peiqixin.com,就會看見

再訪問peiqixin.com

都是自動的從http跳轉(zhuǎn)到https。

接下來想要添加一個api.peiqixin.com域名為https。重復上面的第一步和最后一步，然后就可以在api.peiqixin.com域名旁邊看到小綠鎖。

更新證書

因為這個https證書是有3個月的期限的，差不多快到快要到3個月的時候，letsencrypt會發(fā)郵件給你，告訴你的證書快要過期。這個時候你就可以自己重新安排下證書了。 （你也可以寫個定時腳本，但是那個不是本文的關(guān)注的地方，而且我也沒寫）

certbot renew // 上面的指令我跑不成功，就換成下面的這條，等于說是重新的申請下證書，不用改配置，30秒就選擇完了 // sudo certbot --force-renew 復制代碼

參考資料

certbot官網(wǎng)

how-to-deploy-wildcard-ssl-certificates-using-lets-encrypt

Nginx 配置多域名 http轉(zhuǎn)https

總結(jié)

以上是生活随笔為你收集整理的10分钟免费开启全站https的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。