前言
近期業務需要,進行小程序的開發,但是在小程序裏面請求必須要https才能正常請求數據,爲了方便測試,在騰訊雲SSL證書上申請了一個個人版的SSL證書進行測試;並在此記錄整個配置的過程。
證書申請
申請入口如下圖:
注意:由於是騰訊雲的產品,官網頁面也隨時都在升級調整,以下是我寫教程時的入口;你進去的時候可能看到的不是下面的樣子,自己翻一翻,找一找就可以了,對於鵝廠來說,這種免費的東西,幾乎是放在一個不起眼的角落,自己留意一下…
資料完善
進入以上入口需要完善個人資料並進行實名認證;如實填寫資料,next–>next–>finish即可
域名申請
按如下步驟一步步填寫完成
-
第一步
-
第二步
填寫域名信息及申請人郵箱等資料
-
第三步
-
第四步
將得到一下記錄值信息
域名證書申請驗證(二選一)
手動DNS配置方式(推薦)
- 找到前一步中生成的記錄值,添加的域名解析中,如下圖中的文本信息:
- 添加到如下圖中的域名解析中:
- 添加完成之後刷新,如果出現下圖內容,說明域名解析配置成功:
- 點擊下載按鈕,下載證書文件
其中包含了4種容器的配置證書;
本地文件驗證(麻煩,不建議)
注意!!!! 如果已經按上面的手動DNS配置好了,請忽略這個步驟
如果你選擇的本地文件驗證,可以按這個步驟操作
-
找到如下圖的記錄值:
-
本地創建以下文件目錄、文件名及文件內容:
文件目錄 文件名 文件內容 /.well-known/pki-validation fileauth.txt 201708*****(根據自己實際的只填寫) 注:window下創建.well-known文件夾時,會提示“請輸入文件名”的錯誤信息,無法創建,可以按如下方式創建,進入cmd下,進入要穿件文件夾的盤,輸入mkdir .well-known即可創建,如下圖:
-
如果申請文件驗證的域名是 www.test.com,那麼進行驗證訪問的鏈接地址是 http://www.test.com/.well-known/pki-validation/fileauth.txt 或者 https://www.test.com/.well-known/pki-validation/fileauth.txt
-
如果申請文件驗證的域名是泛域名 *.test.com,那麼進行驗證訪問的鏈接地址是 http://test.com/.well-known/pki-validation/fileauth.txt 或者 https://test.com/.well-known/pki-validation/fileauth.txt
-
成功之後,文件結構如下:
-
nginx配置文件請求映射
location /.well-known/pki-validation/ { root E:/本地文件地址/; }
如前端請求:https://www.test.com/.well-known/pki-validation/fileauth.txt之後,nginx會指向本地E:/本地文件地址/.well-known/pki-validation/fileauth.txt文件
證書配置
所有容器的證書的配置,可參考騰訊雲官網配置說明,本文以Nginx做配置演示說明:
-
解壓下載的證書,找到nginx證書文件夾,可看見以下文件:
-
將2個文件拷貝紙nginx下的conf文件夾,如下圖:
-
修改ngnix的nginx.conf配置文件
server { listen 443 ssl; server_name www.test.com; #填寫綁定證書的域名 ssl on; # 後面接的是證書詳細的路徑 ssl_certificate 1_www.test.com_bundle.crt; ssl_certificate_key 2_www.test.com.key; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照這個協議配置 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照這個套件配置 ssl_prefer_server_ciphers on; location / { root /usr/share/nginx/html; index index.html index.htm; } }
-
在ng的
http的節點
配置DNS服務器
的路徑resolver 223.5.5.5 223.6.6.6 1.2.4.8 114.114.114.114 valid=3600s;
如果沒有配置的話,NG無法對域名映射的IP進行解析!重啓nginx
測試
https測試
瀏覽器輸入:https://www.你的域名.com 能看見NG的主頁說明已經正常了
nginx如何將http請求轉成https
開發過程中,可能是中途才使用到https,之前一直是使用的http,如果按以上配置,配置了https之後,再發起http請求將無法正常的請求到;爲了兼容到之前的http服務,我們可在nginx下添加一個http的服務,然後將請求轉發到https即可,配置如下:
server
{
listen 80;
server_name www.test.com;
rewrite ^/(.*) https://$server_name/$1 permanent; #跳轉到Https
}
重啓nginx並測試:
瀏覽器輸入: http://www.你的域名.com
將會被轉發到: https://www.你的域名.com
總結
到這裏ssl的證書配置即完成。