• 欢迎访问举个栗子网站
  • 小说APP下载 xsz.tw 不带广告的小说站

个人网站部署策略(二) – 反代端部署https

网站 举个栗子 2年前 (2017-12-23) 468次浏览 0个评论 扫描二维码
原文链接: http://gaoit.de/a/3

实际上 https 并不是必须的,针对这个我单独吐过槽 http://gaoit.de/a/1 , 但这里也顺便写一下它的部署吧。
(请别忘了将下文的 mjj.party 替换成你自己的网站域名)

接上一篇的 http://www.hostloc.com/thread-415706-1-1.html ,反代网站建好以后,继续输入命令:
curl https://get.acme.sh | sh
(如果这一步出错那么先 apt-get install -y curl)
然后 source ~/.bashrc 就装好了 acme,我们用它来签发证书

建一个临时的网站目录 mkdir -p /www/mjj.party
编辑我们的反代网站配置文件:
vi /etc/nginx/sites-enabled/mjj.party
进入编辑器后光标移动到 access_log off 这行,按 o,在这行下面粘贴插入以下内容:
location /.well-known {
alias /www/mjj.party/.well-known;
}
然后 esc、输入:wq 回车(保存退出)

重启 nginx 使修改生效 service nginx restart

签发证书
acme.sh –issue -d mjj.party -d http://www.mjj.party -w /www/mjj.party
看到 success 字样就是成功了
再建个目录 mkdir /www/ssl
安装证书
acme.sh –installcert -d mjj.party -d http://www.mjj.party –keypath /www/ssl/mjj.party.key –fullchainpath /www/ssl/mjj.party.key.pem –reloadcmd “service nginx reload”

然后 openssl dhparam -out /www/ssl/dhparam.pem 2048
(如果机器配置低,这一步可能执行时间有些久,耐心等候)

再次修改网站配置文件 vi /etc/nginx/sites-enabled/mjj.party
进入编辑器后光标移动到 listen 80; 这行,按 o,在下面一行粘贴插入
listen 443;
按 esc,光标再移动到最后一个}的上一行按 o(就是在server这个大括号里添加内容)
粘贴入以下
ssl on;
ssl_certificate /www/ssl/mjj.party.key.pem;
ssl_certificate_key /www/ssl/mjj.party.key;
ssl_dhparam /www/ssl/dhparam.pem;
#add_header Strict-Transport-Security “max-age=63072000; includeSubdomains; preload”;
如果想 hsts 强制开启 https 那么就去掉最后那个注释符#,不过我非常不建议这样做

按 esc 输入:wq 回车保存退出
service nginx restart
结束

可以顺便检查下 crontab 里是否已成功添加了定期重签任务:
crontab -l
看到有 acme 的就对了


举个栗子 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:个人网站部署策略(二) – 反代端部署 https
喜欢 (0)
举个栗子
关于作者:
建筑工地上施工员,闲暇时弄个博客打发时间,
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址