摘要：最近博客從阿里云搬遷到騰訊云，也修改了幾個(gè)程序上的，順便也啟用了，記錄一下。是按流量計(jì)費(fèi)的，感覺沒必要，所以使用自定義域名了還得充值塊錢如果使用域名的話需要上傳證書和私鑰的內(nèi)容，這里的證書推薦使用騰訊云的免費(fèi)證書，年有效期，不用頻繁續(xù)簽。

近兩年越來越多的網(wǎng)站開始使用 https，https 是一個(gè)基于 http 協(xié)議開發(fā)，但是使用了 TLS/SSL 加密了傳輸數(shù)據(jù)，所以，簡(jiǎn)單點(diǎn)說 https 是 http 協(xié)議的“安全版”。最近博客從阿里云搬遷到騰訊云，也修改了幾個(gè)程序上的 bug，順便也啟用了 https，記錄一下。

因?yàn)?https 采用 ssl 加密，所以部署 https時(shí)需要申請(qǐng)證書，證書的作用就是對(duì)瀏覽器和Web服務(wù)器雙方的身份驗(yàn)證，推薦文章：圖解HTTPS。
1. 申請(qǐng)
這里我使用了Let"s Encrypt免費(fèi)證書。雖然 Let"s Encrypt 只有3個(gè)月的有效期，但是因?yàn)橛衏ertbot自動(dòng)部署工具，自動(dòng)更新起來也非常簡(jiǎn)單。進(jìn)入 certbot 主頁，可以看到下圖所示。

選擇自己的web服務(wù)器類型和操作系統(tǒng)，比如我這里是 nginx+centos6.5，選擇完畢之后會(huì)自動(dòng)給出安裝命令[以下命令以此為例]。
RedHat系
Debian系

安裝完之后執(zhí)行./certbot-auto certonly開始申請(qǐng)證書。申請(qǐng)證書有兩種驗(yàn)證方式，一種是standalone，這種驗(yàn)證方式雖然也可以部署后，但是以后更新證書的時(shí)候需要重啟 web 服務(wù)器，所以我采用了第二種Webroot，就是在網(wǎng)站根目錄下生成一個(gè)文件，通過訪問該文件來驗(yàn)證，不需要重啟 web 服務(wù)器。

如果選擇 Webroot 模式，并且web服務(wù)器開啟請(qǐng)求重定向的話，需要把 certbot 生成的文件的路徑開放，讓請(qǐng)求可以命中。

選擇驗(yàn)證模式之后，填寫網(wǎng)站根目錄以及域名，即可開始生成證書文件。以上操作也可以簡(jiǎn)化為一條命令./certbot-auto certonly --Webroot -d example.com -d www.example.com，多個(gè)域名使用-d追加。
執(zhí)行完畢如果產(chǎn)生類似以下代碼，即成功生成。

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/your.domain.com/fullchain.pem. Your cert
   will expire on 20XX-09-23. To obtain a new or tweaked version of
   this certificate in the future, simply run certbot again. To
   non-interactively renew *all* of your certificates, run "certbot
   renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let"s Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

2. 部署
接下來修改nginx配置，添加 443 端口的監(jiān)聽。

    listen 443 ssl;
    server_name  hersface.com www.hersface.com;

    ssl on;
    set $node_port 8360;
    ssl_certificate /etc/letsencrypt/live/hersface.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/hersface.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/hersface.com/chain.pem;  
    ssl_session_timeout 5m;
    ssl_protocols TLSv1;
    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers   on;

重啟nginx服務(wù)，訪問網(wǎng)站，https 已經(jīng)可以打開了。

3.證書更新
certbot 已經(jīng)有更新命令，我們只需要部署定時(shí)任務(wù)就行
30 2 15 * * /root/ssl/certbot-auto renew >> /var/log/le-renew.log
每月15號(hào)2:30執(zhí)行更新，并保存任務(wù)日志。事實(shí)上90天才過期，完全可以在80天的時(shí)候自動(dòng)更新，而且 Let’s Encrypt 也限制短期內(nèi)不能頻繁更新，但是不確定限制的時(shí)間是多少，因?yàn)樯暾?qǐng)完證書30天之后我使用更新命令的時(shí)候提示不需要更新。

4.其他免費(fèi)證書
騰訊云免費(fèi)證書
沃通免費(fèi)證書
阿里云免費(fèi)證書

之前博客的靜態(tài)資源是托管在七牛的，使用的七牛免費(fèi)域名。但是只能使用 http 的請(qǐng)求。因?yàn)樵陂_啟 https 的頁面上如果存在 http 資源的話，瀏覽器會(huì)提示

強(qiáng)迫癥表示不能忍。但是七牛如果想使用 https 的話，要么使用 cdn，要么自定義域名。cdn 是按流量計(jì)費(fèi)的，感覺沒必要，所以使用自定義域名了（還得充值10塊錢）

如果使用https域名的話需要上傳證書和私鑰的內(nèi)容，這里的證書推薦使用騰訊云的免費(fèi)證書，3年有效期，不用頻繁續(xù)簽。上傳完配置域名canme解析，如果解析成功，被七牛檢測(cè)到，就可以開始使用了該域名了。

由于博客一直使用的是多說的評(píng)論框，但是多說對(duì) https 處理的非常不好。雖然 js 支持 https，但是用戶的第三方頭像和評(píng)論的表情圖片都是引用的 http 地址，百度搜了一下解決方案基本上都是替換 js 里的鏈接為本地地址，并把原地址當(dāng)參數(shù)傳入，由程序處理，或者配置反向代理，獲取原圖內(nèi)容，并輸出。
參考文章：
讓多說評(píng)論框完美支持HTTPS

于是我配置了一下反代。

    location ~ "^/proxy/(.*)$" {
        resolver 8.8.8.8;
        proxy_pass http://$1;
        proxy_redirect off;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $remote_addr;
        expires 7d;
    }

但是之后發(fā)現(xiàn)效果并不好，覺得加載速度特別慢，不知道因?yàn)槭桥渲糜袉栴}，還是瀏覽器并發(fā)限制導(dǎo)致的。

后來在 github 搜出來一個(gè)神器：https://github.com/rainwsy/duoshuo-https，作者把第三方 http 地址改為七牛CDN處理。感謝！！！

至此，部署完畢。后面還需要再研究一下http2。

博客鏈接：?jiǎn)⒂?https 的一點(diǎn)記錄