个人网站的HTTPS配置

一.简介

其实本来不想写这个的，但是昨天域名备案过了后，配置https搞了我整整半天，属实是搞急了，csdn上面坑人的教程可真是多，走了很多的弯路，趁着现在还记得，就记录一下吧，后面说不定也会用到的，这篇写完就要准备去复习了，感觉离被卷死真的就一步之遥了……

二.方法

2.1 Tomcat的方法
不推荐使用这种方法，因为需要修改工程代码和配置。我在最开始配nginx转发失败时，也尝试了一下这种方法，方法是ok的，但便利程度远不及nginx，所以为什么不用nginx转发呢？不过说不定以后还会用到这种方式，所以也记录一下吧

1. 申请证书，域名购买的地方一般可以免费申请，我是在阿里云申请的，参考：阿里云域名购买，购买免费的DV单域名证书就可以了，有效期一年，到期可以继续申请的

2. 下载证书的Tomcat版本，将其中的pfx文件拷贝到项目的resource目录下

3. 配置application.yaml文件

server:ssl:enabled: truekey-store-password: pfx-password.txt中的密码key-store-type: PKCS12key-store: classpath:你的.pfx文件名

4 在SpringBoot启动项下添加相关配置

  @Beanpublic ServletWebServerFactory servletContainer() {TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory() {@Overrideprotected void postProcessContext(Context context) {SecurityConstraint securityConstraint = new SecurityConstraint();securityConstraint.setUserConstraint("CONFIDENTIAL");SecurityCollection collection = new SecurityCollection();collection.addPattern("/*");securityConstraint.addCollection(collection);context.addConstraint(securityConstraint);}};tomcat.addAdditionalTomcatConnectors(httpConnector());return tomcat;}@Beanpublic Connector httpConnector() {Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol");connector.setScheme("http");//Connector监听的http的端口号connector.setPort(8080);connector.setSecure(false);//监听到http的端口号后转向到的https的端口号connector.setRedirectPort(443);return connector;}

5. 在你的服务器尝试运行一下你的项目，因为你可能会碰到很多的端口冲突情况，老老实实用lsof -i:端口号去杀冲突的进程吧.

6. 去你的域名解析那儿配置域名解析，我用的阿里云，可以参考阿里云域名解析向导

7. 最后，重新运行项目即可，不过还是不太推荐这种方式，不方便，且会出现很多很多莫名其妙的问题，所以还是用nginx吧

2.2 Nginx转发

推荐的方法!只要你别跟着csdn上面那些坑爹的教程做就好了

1. 申请证书，域名购买的地方一般可以免费申请，我是在阿里云申请的: 阿里云域名购买，购买免费的DV单域名证书就可以了，有效期一年，到期可以继续申请的

2. 下载证书的nginx版本，其中包含key和pem两个文件

3. 检查你nginx有没有安装ssl模组，nginx/sbin目录下(你可能看不见sbin这个目录，但并没有问题，可以直接带着路径执行指令)，指令nginx -V(带目录指令 /usr/local/nginx/sbin/nginx-V 前面改成你的目录)
如果显示configure arguments: --with-http_ssl_module代表正确安装了，请跳到步骤5，否则需要重新安装模块

4. 进入你nginx的目录，就是压缩包解压的目录下，使用指令./configure --with-http_ssl_module，如果您nginx没有其他的设置，建议直接执行make install重新安装，这样会覆盖原来的版本，可以确保安装没有问题，否则执行make(我没试过……不过csdn上说这样可以，要不你们试试?)，安装完按照步骤三检查一下，确保没有问题

5. 将你的pem和key文件拷贝到nginx配置文件的目录下

6. 将相关端口添加到阿里云网络安全组中，阿里云请参考阿里云端口配置，并开启防火墙限制(443,80,你项目的端口)

 #基于Centor OS 7的防火墙配置过程1. 防火墙状态设置firewall-cmd --state #查看防火墙状态，为了安全性，建议开启开启防火墙systemctl start firewalld.service   #开启防火墙systemctl enable firewalld.service  #设置防火墙开机自启动，建议设置一下systemctl is-enabled firewalld.service;echo $? #查看是否设置成功，显示enabled和0，代表设置成功2.开启端口firewall-cmd --zone=public --add-port=端口号/tcp --permanent #--permanent永久生效，没有此参数重启后失效firewall-cmd --zone=public --add-port=1000-2000/tcp --permanent #批量添加1000-2000firewall-cmd --reload       #重新载入防火墙firewall-cmd --list-ports   #查看端口开放情况，其中须包括443，80，项目端口

7. 配置nginx配置文件，如果您不确定使用了哪个配置文件，使用指令ps -ef | grep nginx查看，最后会显示当前配置文件路径的，配置文件修改步骤如下

 1.注释掉默认配置，整段需全部注释掉server{listen 80;…………}2.添加https端口监听server {listen       443 ssl;server_name  你的域名;ssl_certificate      你的pem文件地址;ssl_certificate_key  你的key文件地址;#地址可以使用对于本配置文件的相对路径，例如如果你的文件和conf同级目录下，则可以直接写文件名#最好使用绝对路径ssl_session_cache    shared:SSL:1m;ssl_session_timeout  5m;ssl_ciphers  HIGH:!aNULL:!MD5;ssl_prefer_server_ciphers  on;location / {proxy_pass   http://你服务器的ip:你项目的端口;root   html;index  index.html index.htm;}}3.添加80端口监听和强制转化server {listen 80; #域名访问会默认映射到80端口server_name 你的域名;location / {proxy_pass   http://你服务器的ip:你项目的端口;index  index.html index.htm;proxy_set_header Host $host;proxy_set_header X-Real-Ip $remote_addr;proxy_set_header X-Forwarded-For $remote_addr;}rewrite ^(.*)$ https://你的域名:443/$1 permanent;}

8. 重新启动nginx，使用指令nginx -s reload即可(带目录执行/usr/local/nginx/sbin/nginx -s reload 前面改成你的目录)

9.域名解析，配置两条A记录www和@，记录值填你的ip即可，TTL无需修改

三.其他

如果您将网站升级了https，请注意网站内所有http链接都会失效