背景信息
由于最近在搭建我的出海网站 https://www.idatariver.com/zh-cn , 感兴趣的可以看看。
其中一个环节便是给后端API接口加上ssl,毕竟http看着不如https,但因为没有备案,所以不能使用国内的服务器(国内未备案域名是不开放服务器443和80端口的),本文便是解决怎么在网站没有备案的情况下部署https并且保证不牺牲国内用户的访问速度。
为什么不使用Cloudflare?
众所周知,Cloudflare
有免费的https可以白嫖,如果是前端代码,直接部署到Vercel
上也是能白嫖https的,那么为什么不白嫖呢?
原因就是网络优化问题,这些平台都是海外公司的产品。由于没有特别优化国内网络路线,因此国内访问这些平台的速度是比较慢的(对于未备案的网站来说,即便是Cloudflare的边缘网络也不好使),如下图:
可以看到我的网站在国内ping的延时稳定在200+ms,而优化过之后的延时可以达到30-40ms
的范围。
操作流程
整个搭建并不复杂,使用的ssl证书也是免费的,所以非常适合初学者或者想省钱的同学使用。
解决方案就是将https部署到大陆网络优化过的香港服务器上(因为香港服务器无需备案)。
准备一台香港服务器(需要CN2大陆网络优化)
前文说了没有备案所以不能使用国内的服务器,这时最好的选择就是准备一台香港服务器(有CN2路线优化的),这时国内ping的延时基本上在30-40ms
。
接下来只要将域名dns解析到这台服务器上即可,不过默认不支持ssl,也就是说只能http访问,接下来就是加上SSL证书使得能够https访问,这也是本篇文章重要讲解的部分。
使用Let’s Encrypt提供的免费SSL证书
CA 的证书提供商有许多个,有收费的有免费的,Let’s Encrypt 就是其中之一的免费提供商,它提供 90 天的免费授权,90 天后可以免费续签。
这里有个坑需要大家注意,并不是所有的免费ssl供应商都好用,有的供应商虽然浏览器访问https没问题,但是在代码里发起https请求或者直接curl请求时会报错,比如:
'[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1000)
为了排查这个问题花了很多时间(当时使用的是freessl的免费证书),最后把证书换成Let’s Encrypt的就好了。原因应该是虽然浏览器认可证书,但是代码里使用的库可能更新不及时,不认可该证书,虽然可以通过强制verify=false
或者手动指定证书路径的方式解决,但也给用户的使用带来了不便。
下面以我的centos服务器为例讲解如何在nginx上部署ssl证书:
安装certbot
Certbot 就是Let`s Encrypt官方出的一个客户端程序,能帮助你简化部署流程。
sudo yum install certbot
生成证书
生成证书需要验证域名的归属权,因此在生成证书前,确保dns已经指向本机,这样才能方便进行域名归属验证。
下面是nginx配置文件your.domain.com.conf
的写法(将your.domain.com
替换为你自己的域名):
server { listen 80; server_name your.domain.com; #这里填你要验证的域名 location ^~ /.well-known/acme-challenge/ { # 证书生成时的验证 default_type "text/plain"; root /usr/share/nginx/html/; #这里需要与后文 --webroot -w 后面配置的路径一致 } }
将此文件复制到/etc/nginx/conf.d/
目录下,然后重载nginx配置:
sudo systemctl reload nginx
创建证书
sudo certbot certonly --webroot -w /usr/share/nginx/html/ -d your.domain.com
出现类似下图这种表示创建成功:
配置nginx的ssl证书
这个是我的域名api.idatariver.com
的配置文件,只需要将域名替换成自己的,再将后端服务修改成自己的即可。
server { listen 443 ssl http2; listen [::]:443 ssl http2; server_name api.idatariver.com; ssl_certificate /etc/letsencrypt/live/api.idatariver.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/api.idatariver.com/privkey.pem; ssl_session_timeout 5m; location / { proxy_pass http://localhost:****; # 映射到本机后端服务端口 } location ^~ /.well-known/acme-challenge/ { # 证书续期时的验证 default_type "text/plain"; root /usr/share/nginx/html/; #这里需要与后文 --webroot -w 后面配置的路径一致 } } server { listen 80; server_name api.idatariver.com; rewrite ^(.*)$ https://$host$1 permanent;#将请求转成https location ^~ /.well-known/acme-challenge/ { # 证书生成时的验证 default_type "text/plain"; root /usr/share/nginx/html/; #这里需要与后文 --webroot -w 后面配置的路径一致 } }
将文件复制到/etc/nginx/conf.d/
目录下,然后重载nginx配置文件即可。
sudo systemctl reload nginx
到这里,就已经能使用https访问你的服务了,而且大陆访问延时很ok,基本上就是服务器ping的延时,在30-40ms左右,跟访问国内服务器一样快。
证书续期
免费证书90天过期,所以需要在过期前及时续期,可先执行模拟续期操作(会对/etc/letsencrypt/live/ 对目录下的所有域名进行模拟续期):
sudo certbot renew --dry-run sudo certbot renew
模拟续期没问题后,就可以执行以下命令进行续期了:
sudo certbot renew
一般只要在证书到期前执行续期命令即可,好像certbot现在本身就会在后台自动续期,不过我没验证过,不放心的话也可以设置cronjob定期执行。
sudo crontab -e
然后会打开打开定时任务配置文件,我们可以按i进入编辑模式,然后输入:
30 2 * * * /usr/bin/certbot renew >> /var/log/le-renew.log
上面的执行时间为:每天凌晨2点30分执行renew任务。
删除证书
如果因为种种原因不小心生成了多余的证书,他会存在于我们的服务器中,导致无用的冗余。可是官方其实并没有提供取消授权的方式,我们可以在本地删除授权证书,并且不再续签,便可以释放该证书了,我们需要进入对应的文件夹内,查看自己已经生成的证书域名文件夹,然后依次删除就好,记得替换 your.domain.com 为你要删除的域名:
cd /etc/letsencrypt ls sudo rm -rf /etc/letsencrypt/live/your.domain.com/ sudo rm -rf /etc/letsencrypt/archive/your.domain.com/ sudo rm /etc/letsencrypt/renewal/your.domain.com.conf
好了,到这里就讲完了。
结束语
本文介绍了使用Let’s Encrypt免费ssl证书 + nginx 搭建免费https服务的完整流程,通过在香港CN2网络优化的服务器上部署,可以使国内用户也能快速访问,比如我的平台接口,对于国外用户正常使用Cloudflare的服务走api.idatariver.com
域名进行访问,对于国内用户,则是走cnapi.idatariver.com
进行国内优化路线访问。
写作不易,觉得帮到忙了就点个赞吧,谢谢~
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/31603