在文章-腾讯云申请免费SSL证书中, 我们已经申请好了SSL证书. 那么现在, 我们就要配置全站SSL了! ???
这次的工作主要是NGINX的配置, 同时会有一些我的博客本身的配置.
博客本身配置更改包括: (这篇文章就先不细说了)
- 网页内链接全部从http改为https(其实配置下SITEURL, 工具会自动生成好) 并重新发布. (特别要注意, 如果有的站内css, js等没有用https就尴尬了, 会被各类浏览器拦截掉, 并提示"不安全的脚本")
- 网站有用到的第三方工具(如拨测), 把网站的地址改为 https开头的.
首先, 创建并上传准备好的证书文件到指定目录: (crt和key文件)
$ sudo mkdir -p /etc/pki/nginx/
# 通过sftp上传到该目录
进行nginx.conf 的ssl配置, 本次主要涉及到server块的配置更改, 如下: (具体的指令作用见注释)
server {
listen 80;
server_name www.ewhisper.cn;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
server_name www.ewhisper.cn;
root /usr/share/nginx/html; # 静态博客的存放位置
ssl_certificate "/etc/pki/nginx/1_www.ewhisper.cn_bundle.crt"; # 证书路径
ssl_certificate_key "/etc/pki/nginx/2_www.ewhisper.cn.key"; # 证书密钥路径
ssl_session_cache shared:SSL:50m; # ssl session cache分配50m空间, 缓存ssl session
ssl_session_timeout 1d; # ssl session 超时时间为1天
ssl_session_tickets off; # ssl session ticket 机制, 部分版本有bug, 视情况开启.
ssl_protocols TLSv1.2; # ssl 协议版本
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256'; # ssl ciphers
ssl_prefer_server_ciphers on; # 倾向于使用server端的ciphers
# HSTS 6 months
add_header Strict-Transport-Security max-age=15768000;
# 添加个http header, 告诉浏览器直接转到https, 此功能有风险, 慎重选择.
# (比如你的证书过期忘记续了, 那么用户想转到http都没办法)
ssl_stapling on; # 启用ssl OCSP stapling功能, 服务端主动查询OCSP结果, 提高TLS效率
ssl_stapling_verify on; # 开启OCSP stapling 验证
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf; # 我的博客的location在这里配置
#location / {
#}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50X.html;
location = /50X.html {
}
}
? 说明:
以上的某些指令, 我先大概介绍下, 后续会有文章做详细介绍.
return 301 https://$host$request_uri; HTTP的全部永久重定向到https对应的URL/usr/share/nginx/html 静态博客的存放位置ssl_session_timeout 1d; ssl session 超时时间为1天ssl_session_tickets off; # ssl session ticket 机制, 部分版本有bug, 视情况开启.ssl_prefer_server_ciphers on; 倾向于使用server端的ciphersssl_stapling on; 启用ssl OCSP stapling功能, 服务端主动查询OCSP结果, 提高TLS握手效率/etc/nginx/default.d/*.conf; 我的博客location配置? 小技巧:
火狐浏览器背后的基金会, 开源了一个非常好用的工具: ssl-config-generator
在这上边, 点一点就可以自动生成推荐的SSL配置了.
提一点, 如上图所示, 第二列一定要根据你的客户浏览器或客户端的版本使用情况慎重选择.
比如, 用户还在用Windows XP, IE6, Java 6, 那么只能选择Old.
接下来, 就是要重启nginx来生效了.
$ sudo nginx -t # 测试配置, 没问题再重启
$ sudo systemctl reload nginx.service
重启后, 测试发现 css js都没有生效. ???
因为之前nginx刚配置过缓存. 当时脑子没转过来, 没有第一时间意识到可能是浏览器缓存的问题. 就直接nginx stop 再start了下. 结果悲催的我的网站可用性就从100%跌到99.81%了.
后来终于意识到可能是浏览器缓存的问题了, 清理了缓存后, 再启动, 终于页面显示正常, 图标也从"不安全"变成了小锁.
测试访问http://www.ewhisper.cn, 也会被强制转到 https://www.ewhisper.cn. 完美!
再来介绍个好东西 - SSL Labs. 可以对你的网站进行SSL 安全评级.
点击链接, 输入网站地址, 喝杯茶, 结果就出来了 - A+ 哈哈哈哈哈!!!!
最后附上我的完整报告
三人行, 必有我师; 知识共享, 天下为公. 本文由东风微鸣技术博客 EWhisper.cn 编写.
我的瘦服务器配置了nginx,我的ROR应用程序正在它们上运行。在我发布代码更新时运行thinrestart会给我的应用程序带来一些停机时间。我试图弄清楚如何优雅地重启正在运行的Thin实例,但找不到好的解决方案。有没有人能做到这一点? 最佳答案 #Restartjustthethinserverdescribedbythatconfigsudothin-C/etc/thin/mysite.ymlrestartNginx将继续运行并代理请求。如果您将Nginx设置为使用多个上游服务器,例如server{listen80;server
我有一个在Linux服务器上运行的ruby脚本。它不使用rails或任何东西。它基本上是一个命令行ruby脚本,可以像这样传递参数:./ruby_script.rbarg1arg2如何将参数抽象到配置文件(例如yaml文件或其他文件)中?您能否举例说明如何做到这一点?提前谢谢你。 最佳答案 首先,您可以运行一个写入YAML配置文件的独立脚本:require"yaml"File.write("path_to_yaml_file",[arg1,arg2].to_yaml)然后,在您的应用中阅读它:require"yaml"arg
我已经在Sinatra上创建了应用程序,它代表了一个简单的API。我想在生产和开发上进行部署。我想在部署时选择,是开发还是生产,一些方法的逻辑应该改变,这取决于部署类型。是否有任何想法,如何完成以及解决此问题的一些示例。例子:我有代码get'/api/test'doreturn"Itisdev"end但是在部署到生产环境之后我想在运行/api/test之后看到ItisPROD如何实现? 最佳答案 根据SinatraDocumentation:EnvironmentscanbesetthroughtheRACK_ENVenvironm
之前在培训新生的时候,windows环境下配置opencv环境一直教的都是网上主流的vsstudio配置属性表,但是这个似乎对新生来说难度略高(虽然个人觉得完全是他们自己的问题),加之暑假之后对cmake实在是爱不释手,且这样配置确实十分简单(其实都不需要配置),故斗胆妄言vscode下配置CV之法。其实极为简单,图比较多所以很长。如果你看此文还配不好,你应该思考一下是不是自己的问题。闲话少说,直接开始。0.CMkae简介有的人到大二了都不知道cmake是什么,我不说是谁。CMake是一个开源免费并且跨平台的构建工具,可以用简单的语句来描述所有平台的编译过程。它能够根据当前所在平台输出对应的m
注意:本文主要掌握DCN自研无线产品的基本配置方法和注意事项,能够进行一般的项目实施、调试与运维AP基本配置命令AP登录用户名和密码均为:adminAP默认IP地址为:192.168.1.10AP默认情况下DHCP开启AP静态地址配置:setmanagementstatic-ip192.168.10.1AP开启/关闭DHCP功能:setmanagementdhcp-statusup/downAP设置默认网关:setstatic-ip-routegeteway192.168.10.254查看AP基本信息:getsystemgetmanagementgetmanaged-apgetrouteAP配
1.1.1 YARN的介绍 为克服Hadoop1.0中HDFS和MapReduce存在的各种问题⽽提出的,针对Hadoop1.0中的MapReduce在扩展性和多框架⽀持⽅⾯的不⾜,提出了全新的资源管理框架YARN. ApacheYARN(YetanotherResourceNegotiator的缩写)是Hadoop集群的资源管理系统,负责为计算程序提供服务器计算资源,相当于⼀个分布式的操作系统平台,⽽MapReduce等计算程序则相当于运⾏于操作系统之上的应⽤程序。 YARN被引⼊Hadoop2,最初是为了改善MapReduce的实现,但是因为具有⾜够的通⽤性,同样可以⽀持其他的分布式计算模
我是ruby的新手,正在配置IRB。我喜欢pretty-print(需要'pp'),但总是输入pp来漂亮地打印它似乎很麻烦。我想做的是默认情况下让它漂亮地打印出来,所以如果我有一个var,比如说,'myvar',然后键入myvar,它会自动调用pretty_inspect而不是常规检查。我从哪里开始?理想情况下,我将能够向我的.irbrc文件添加一个自动调用的方法。有什么想法吗?谢谢! 最佳答案 irb中默认pretty-print对象正是hirb被迫去做。Theseposts解释hirb如何将几乎所有内容转换为ascii表。虽
我想在IRB中浏览文件系统并让提示更改以反射(reflect)当前工作目录,但我不知道如何在每个命令后进行提示更新。最终,我想在日常工作中更多地使用IRB,让bash溜走。我在我的.irbrc中试过这个:require'fileutils'includeFileUtilsIRB.conf[:PROMPT][:CUSTOM]={:PROMPT_N=>"\e[1m:\e[m",:PROMPT_I=>"\e[1m#{pwd}>\e[m",:PROMPT_S=>"FOO",:PROMPT_C=>"\e[1m#{pwd}>\e[m",:RETURN=>""}IRB.conf[:PROMPT_MO
我正在使用Ruby/Mechanize编写一个“自动填写表格”应用程序。它几乎可以工作。我可以使用精彩CharlesWeb代理以查看服务器和我的Firefox浏览器之间的交换。现在我想使用Charles查看服务器和我的应用程序之间的交换。Charles在端口8888上代理。假设服务器位于https://my.host.com。.一件不起作用的事情是:@agent||=Mechanize.newdo|agent|agent.set_proxy("my.host.com",8888)end这会导致Net::HTTP::Persistent::Error:...lib/net/http/pe
A/ctohttp://wiki.nginx.org/CoreModule#usermaster进程曾经以root用户运行,是否可以以不同的用户运行nginxmaster进程? 最佳答案 只需以非root身份运行init脚本(即/etc/init.d/nginxstart),就可以用不同的用户运行nginxmaster进程。如果这真的是你想要做的,你将需要确保日志和pid目录(通常是/var/log/nginx&/var/run/nginx.pid)对该用户是可写的,并且您所有的listen调用都是针对大于1024的端口(因为绑定(