【转】七牛免费SSL证书,配置自定义域名CDN加速
2017-09-16 11:20
417 查看
原文链接:https://excaliburhan.com/post/use-qiniu-ssl-and-cdn.html
申请七牛SSL证书
其实,七牛在很早之前就支持CDN使用https,但是他要求证书的有效期是一年及以上,而我的主站用了Let's Encrypt的免费SSL证书,有效期90天,自动续签的形式。所以,为了使CDN的图片也是https的,一直采用了七牛默认的xxx.qnssl.com域名。
在11月,七牛发布了免费SSL证书,亚洲诚信的DV证书。申请起来也很简单,参见七牛SSL证书申请。当然,申请的证书只能用于CDN加速。
绑定自定义域名
通过个人面板-证书管理,我申请了域名为static.excaliburhan.com的SSL证书,验证成功后,接下来就是绑定自定义域名了。进入七牛云空间首页,点击对象存储,选择你想要使用https的bucket,在融合 CDN加速域名自定义域名点击右边,进行添加自定义域名。
在通信协议选项中选择HTTPS,可以选择或者手动填写证书。如果申请成功,下拉就可以看到我们的证书了。选中后,七牛会自动填写证书内容和私钥。这时,不要急着点击完成,将证书内容复制保存为certificate.crt(名字可以自行改,后缀需要保持一下,下同),将私钥内容复制保存为certificate.key,为后面配置做准备。这么做的原因主要是,我不知道怎么去下载证书内容和私钥,所以就采用这种比较原始的方法了。如果你知道的话,请告诉我。
最后,填完所有内容之后,点击创建即可。这时,添加的域名应该还处于审核状态,需要你添加CNAME,按照要求填写CNAME之后,进入nginx设置环节。
nginx设置
由于我的主站使用的Let's Encrypt证书,并且没有进行泛域名的配置,实际上Let's Encrypt也暂时不支持。那么,对static.excaliburhan.com进行设置。
首先,我们需要把保存的certificate.crt和certificate.key传到服务器的相应目录,我这的目录是
/etc/nginx/certs。nginx简单配置如下。
server { listen 443 ssl http2; server_name static.excaliburhan.com; ssl on; ssl_certificate /etc/nginx/certs/certificate.crt; ssl_certificate_key /etc/nginx/certs/certificate.key; }
重启nginx,将七牛CDN的域名换成自定义的域名,发现Chrome报错:隐私设置错误。研究发现,主要是我nginx主站设置了HSTS和HPKP,并且都设置了includeSubDomains。而我的主站使用的SSL证书和七牛的SSL证书并不是一个厂商,所以,请求被当成了劫持攻击了!
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"; add_header Public-Key-Pins ...(pin-sha256指纹设置);max-age=604800; includeSubDomains;
解决方法就是去掉includeSubDomains。
add_header Strict-Transport-Security "max-age=31536000"; add_header Public-Key-Pins ...(pin-sha256指纹设置);max-age=604800;
而且我还去掉了preload,原因有二,一是preload list申请必须包含includeSubDomains;二是个人网站申请Chrome的preload list基本无效。
除此之外,还要添加七牛SSL证书的CA的Public Key指纹,七牛的SSL证书是TrustAsia DV SSL CA - G5,指纹是
IiSbZ4pMDEyXvtl7Lg8K3FNmJcTAhKUTrB2FQOaAO/s=。当然你也可以采用根证书VeriSign Class 3 Public Primary Certification 的指纹:
JbQbUG5JMJUoI6brnx0x3vZF6jilxsapbXGVfjhN8Fg=。不推荐使用站点证书生成的指纹。
添加完毕后,使用
service nginx restart重启nginx即可。
侵删
相关文章推荐
- 给网站加速之七牛免费CDN使用教程
- 教你一步一步部署.net免费空间OpenShift系列之四------绑定域名、使用CDN加速
- 阿里云系列——6.给你的域名使用CDN加速(详细步骤+简单配置)
- [从零开始搭网站六]为域名申请免费SSL证书(https),并为Tomcat配置https域名所用的多SSL证书
- 创业者福利 2015创新中国 创业邦公开课 孵化培训 免费报道 APP下载 降价?开始而已:UPYUN CDN 首推自定义 SSL 服务
- 盘点国内外十大免费CDN网站加速服务
- wordpress加速优化教程:非插件部署cdn加速(七牛、又拍云)
- 网站安全配置(Nginx)防止网站被攻击(包括使用了CDN加速之后的配置方法
- 免费https SSL证书申请、配置心得
- Linux----阿里云服务器 https 配置(目前用的是1年免费 SSL证书申请)
- 关于配置apache时无法用自定义域名访问论坛的问题
- 七牛镜像存储 WordPress 插件:一键实现 WordPress 博客静态文件 CDN 加速
- 【更新版】域名安全防护智能解析DNS+CDN免费产品
- 使用CloudFare免费套餐加速网站并且支持SSL证书
- Squid集群做CDN全网加速配置分享
- 新StartSSL免费SSL证书申请使用:Apache和Ngnix安装配置SSL证书
- php 配置本地自定义域名
- 免费使用公共CDN静态库加速
- 本地电脑使用自定义域名访问项目+配置项目
- 运维笔记22 (apache的基本配置,静态网页,动态cgi,论坛搭建,squid实现正向,反向代理,简易cdn加速)