<h2><strong>为什么要使用 HTTPS ?</strong></h2>    <p>首先来说一下 HTTP 与 HTTPS 协议的区别吧，他们的根本区别就是 HTTPS 在 HTTP 协议的基础上加入了 SSL 层，在传输层对网络连接进行加密。简单点说在 HTTP 协议下你的网站是光着身子在奔跑，但到了 HTTPS 下你穿了一件衣服，别人看不到你的肌肉了（当然，这好像不是好事，不重要），更安全了一点点，就大概这个意思。</p>    <p>SSL 依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。采用 HTTPS 的服务器必须从证书颁发机构 CA（Certificate Authority）申请一个用于证明服务器用途类型的证书，当然一般都有收费，而且不便宜，其实你也可以通过 OpenSSL 自己造一个证书，这样有一个弊端是大家都不信任你造的证书。那怎么办？</p>    <h2><strong>你必须知道的步骤</strong></h2>    <p>通过上面的简单介绍你应该知道了，要想你的网站支持 HTTPS ，就必须有一个 <strong>被信任的证书</strong> ，那这个证书就必须由证书颁发机构（如VeriSign、Microsoft等）颁发的，否则你就会遇到如打开 12306.cn 这样的 您的连接不是私密连接 的尴尬。</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/43cfb3e1d5250d37fba7f49001249797.png"></p>    <p>你肯定不想用户打开后，你的网站是上面这样的，身边有好多朋友买票时问过我这是什么意思？我都没办法解释给他们，哎。所以你需要要有下面几个东西：</p>    <ul>     <li>一个域名（你肯定有）</li>     <li>Web 服务器（Nginx，Apache，IIS都行）</li>     <li>SSL 证书（最好 CA 机构颁发的）</li>    </ul>    <p>就完了，上面三个东西可能最麻烦就是搞到一个被全世界都信任的证书了，没关系，现在我试着让你免费获取一个，注意是 <strong>免费！！！</strong></p>    <p>提供免费的证书商也就那么几个，最知名的可能是 StartSSL ，其他我还知道 Let's Encrypt ，不过这里我用的是国内腾讯云的。</p>    <h2><strong>感谢腾讯云</strong></h2>    <p>对于得到一个 受信任的证书 很简单，找第三方证书颁发机构购买就行了，但是一个每年大几千的证书费用对于小企业或个人来说，有点接受不了，或者是没钱。现在好了，腾讯云认证用户可以申请到赛门铁克(Symantec)免费的 TrustAsia DV SSL 证书了。</p>    <p>登录腾讯云管理平台</p>    <p>SSL 证书申请地址在这里： https://console.qcloud.com/ssl ，点击 申请证书 ，会弹出下面的框：</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/9a531998bb7b6b464fb592eebf5829d8.png"></p>    <p>上面显示什么 价值1900元/年 ，不要管，点击 确认 按钮。弹出表单你填写你要绑定的域名就行了：</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/5fa5dacb3def2e7e7b80fd671998fc0f.png"></p>    <p>接下来会验证你的域名，简单说就是验证一下这个域名是不是你的，所以你要在域名解析添加一条 CName 记录，实在不懂的话，官方也有怎么添加的文档。</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/7cef9c7f7d46341c1c3931b6043671df.png"></p>    <p>一般验证过程会很快，几个小时吧，申请通过后，这时候你看到状态是 已颁发 后，就能下载证书了。</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/5e269c466bf58b6089d3861554ab206b.png"></p>    <p>下载下来你打开文件会看到 Nginx，Apache，IIS 三个文件夹，里边放的就是对应各个服务器的证书。到这里，整个证书申请流程就算完了，接下来就是配置 Web 服务器来支持网站的 HTTPS 访问了。我这里用的 Nginx 演示。</p>    <h2>Nginx 平滑升级以支持 HTTPS</h2>    <p>要想让 Web服务器支持 HTTPS ，首先你的服务器肯定要支持 SSL ，所以我们先检查 Nginx 是否支持 SSL ：</p>    <pre>  <code class="language-javascript">/usr/local/nginx/sbin/nginx -V</code></pre>    <p style="text-align:center"><img src="https://simg.open-open.com/show/1707cdeca50f5f90d8aac62a5a9589f2.png"></p>    <p>通过命令显示信息，我们看 configure arguments 中是否有 -with-http_ssl_module 字样，如果像我这样没有的话，你就需要重新编译 Nginx 以支持 SSL 了。如果有，请跳过这步骤，直接看 Nginx 配置 HTTPS 服务 那一节。</p>    <p>安装 Nginx 可能大家都会，但是平滑升级 Nginx 可能你没有体验过，这样说吧，在线上服务器环境下，你要支持 HTTPS 访问，但是你发现你的 Nginx 不支持 SSL ，你肯定不能卸载 Nginx 重新安装时加载 SSL 模块，因为那是线上服务器。你只能在现有安装的 Nginx 下进行无痛升级以以支持 SSL ，这就用到了 Nginx 的 平滑升级 概念。</p>    <p>找到你之前安装 Nginx 时的编译目录，如果你和我一样找不到或许删除了，那我们就需要重新下载一个 Nginx 了，当然我们是通过 wget 方式，看命令：</p>    <pre>  <code class="language-javascript">wget -c https://nginx.org/download/nginx-1.10.1.tar.gz  tar -zxvf nginx-1.10.1.tar.gz  cd nginx-1.10.1</code></pre>    <p>配置，加入 SSL 模块：</p>    <pre>  <code class="language-javascript">./configure --with-http_ssl_module  make</code></pre>    <p style="text-align:center"><img src="https://simg.open-open.com/show/3a0c1dd71eb7994358aec9dd0e8fded6.png"></p>    <p>注意，千万不能在像安装的时候 make install 了，因为我们这是升级。</p>    <p>备份原 Nginx 执行脚本</p>    <pre>  <code class="language-javascript">mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.old</code></pre>    <p>把新版本 Nginx 编译脚本放到可执行文件目录下</p>    <pre>  <code class="language-javascript">cd objs/  cp nginx /usr/local/nginx/sbin/</code></pre>    <p style="text-align:center"><img src="https://simg.open-open.com/show/cf44436956f1121e5588882250ba1227.png"></p>    <p>进行平滑升级，命令：</p>    <pre>  <code class="language-javascript">make upgrade</code></pre>    <p style="text-align:center"><img src="https://simg.open-open.com/show/22f15bd4be69b427839012cda4216e1b.png"></p>    <p>这时候会输出这些信息：</p>    <pre>  <code class="language-javascript">/usr/local/nginx/sbin/nginx -t  nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok  nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful  kill -USR2 `cat /usr/local/nginx/logs/nginx.pid`  sleep 1  test -f /usr/local/nginx/logs/nginx.pid.oldbin  kill -QUIT `cat /usr/local/nginx/logs/nginx.pid.oldbin`</code></pre>    <p>没问题之后接下来，查看现在目前版本及安装模块：</p>    <pre>  <code class="language-javascript">/usr/local/nginx/sbin/nginx -V</code></pre>    <p style="text-align:center"><img src="https://simg.open-open.com/show/0a22fa9c4cfbe58787bbbeed9f137d96.png"></p>    <p>看到已经从 1.4.6 版本升级到了 1.10.1，而且这种升级不影响正常访问的。线上环境操作也是可以的。</p>    <h2>Nginx 配置 HTTPS 服务</h2>    <p>编辑配置文件：</p>    <pre>  <code class="language-javascript">cd /usr/local/nginx/conf  vim nginx.conf</code></pre>    <p>拉到最下面，会看到 HTTPS 配置被注释掉了。嗯，这是模板，我们就在这配置。</p>    <p style="text-align:center"><img src="https://simg.open-open.com/show/961c906f99bba43643011c5c6b49fbcd.png"></p>    <p>文字版：</p>    <pre>  <code class="language-javascript">server {      listen       443 ssl;      server_name  www.domain.com;        ssl on;      ssl_certificate 1_www.domain.com_bundle.crt;      ssl_certificate_key 2_www.domain.com.key;        ssl_session_timeout  5m;        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;      ssl_ciphers  ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;      ssl_prefer_server_ciphers  on;        location / {          root   html;          index  index.html index.htm;      }  }</code></pre>    <p>把上面的 ssl_certificate 和 ssl_certificate_key 替换成你下载下来的证书存放路径就行，记着下载下来的证书这种配置是放在 /usr/local/nginx/conf 目录下的，当然你也可以随意放。</p>    <p>这时候，你就可以打开浏览器访问一下试试了。正常情况 HTTPS 请求是打不开的，因为我们还没设置防火墙，记得要 <strong> 开放 443 端口！ </strong> ，嗯，设置过防火墙就可以正常访问了吧。</p>    <p>其实到这里，这个服务器支持 HTTPS 请求流程已经结束了，但是你发现好多人在浏览器地址栏输入域名的时候都不输入 http:// 或 https:// 的，因为浏览器会自动帮我们加上 http:// 的，所以，这时候输入我们刚刚设置的域名其实还是没有走 https:// 请求,那 <strong> 怎么让就是输入 http:// 也走 HTTPS 呢？ </strong></p>    <p>很简单，Nginx 中这样配置就行啦！</p>    <pre>  <code class="language-javascript">server {      listen  80;      server_name  www.domain.com;        rewrite ^(.*)$  https://$host$1 permanent;  }</code></pre>    <p>我们利用 rewrite 来做跳转。监听到 80 端口的 HTTP 请求后，就转发到 HTTPS ，当然还有好多处理方式。</p>    <h2><strong>总结一下</strong></h2>    <p>这篇文章讲了一下怎么申请免费的 HTTPS 证书，然后利用 Nginx 服务器来配置 HTTPS 请求访问，并其中顺手 <strong>平滑升级 Nginx</strong> ，如丝般顺滑的升级，不影响正常访问。HTTPS 方式的传输对我们网站来说应该是提高了一些安全性的，况且这种方式又很简单，可以试着搞一搞。</p>    <p> </p>    <p>来自：http://www.cnblogs.com/mafly/p/https_nginx.html</p>    <p> </p>