采用 SSL 证书加密访问的 https 网站,在一定程度上加密了数据传输,可以避免传输过程中的隐私数据泄露。谷歌在 2014 年宣布对于带有 SSL 证书的网站给予更高的权重。最近百度也明确指出全面支持https页面直接收录,并且采用https协议的页面更加安全,排名上会优先对待。
【官方建议】百度spider工程师给https站点的技术建议
http://zhanzhang.baidu.com/college/articleinfo?id=489
这里我们要探讨的是nginx 服务器下网站改用 https 的方法。
1. 申请免费的 ssl 证书
更新:以下内容仅供参考,当前免费证书更好的解决方案是 `Lets Encrypt`。方法也很简单,可参考:https://lzw.me/a/lets-encrypt-ssl.html
你可以参考如下的地址申请免费的 ssl 证书,也可以依据网站安全级别需要,购买付费的级别更高的 SSL 证书服务。
有如下几个提供免费 ssl 证书的地方,请自行选择其一,注册账号,按照提示逐步注册免费 ssl 证书。
一般十分钟左右即可搞定。志文工作室选择的是 wosign。
http://freessl.wosign.com/freessl
http://www.zzidc.com/main/ssl/showmianfei.html
https://www.startssl.com/
取得 ssl 证书下载下来,解压后的文件图一所示。这里解压 for nginx 的 zip 包,得到一个 key 和 crt 文件。
2. 上传 SSL 证书
上传证书文件到服务器任意目录,如上传到 /root/ssl/ 目录下。
然后解密私钥和设置权限:
openssl rsa -in /root/ssl/2_lzw.me.key -out /root/ssl/2_lzw.me.key chmod 600 /root/ssl/2_lzw.me.key
3. 修改配置 nginx
修改网站站点的 nginx 配置文件,如: vi /usr/local/nginx/conf/vhost/domain.conf。
我们这里会增加 https 的访问,并针对 http 访问做 301 重定向。修改后的设置参考如下(红色部分为新增内容):
# http 301 to https server { listen 80; server_name lzw.me www.lzw.me; rewrite ^(.*) https://$host$1 permanent; # return 301 https://$server_name$request_uri; } server { #listen 80; #listen [::]:80; listen 443 ssl; ssl on; ssl_certificate /root/ssl/1_lzw.me_bundle.crt; ssl_certificate_key /root/2_lzw.me.key; server_name lzw.me www.lzw.me; ....
修改完成后,重启 nginx,即可生效。
4. 带来的问题
一些第三方网站的插件、广告不支持 HTTPS 方式引用,则无法继续使用。
如百度分享、百度联盟广告、新浪微博博客组件/评论箱等。
现在看不少站点都启用了 https 来进行访问。