近来使用Halo搭建博客,并顺便把WeHalo小程序也把玩了起来,但是发现几个非常棘手的问题:

  1. 根据访问日志发现有三方在刷取关键接口的请求,http请求在部分情况下会暴露出很显著的安全问题;
  2. 小程序强制依赖https,非https连接不能使用,尝试三方开源的v-request替换也是效果不太好;
  3. 第三个问题是由以上问题衍生的,如果升级https网站域名首先就是需要备案,对于个人博客来说,稳定性要求没有那么高,备案流程复杂,想想还是算了吧;

那能怎么办呢?条件不够,技术来凑。

众所周知,http和https请求的默认端口分别为80和443,那么能否实现非标准端口的https呢,这样就能绕过未备案的限制。

经过对https资料的查找,发现有很大希望实现,有这么关键的几点。

https基本原理就不在熬述了,直接引用资料原文:

通过 ACME 协议向 Let's Encrypt 证明自己的域名所有权的过程就叫做 Challenge (验证),目前有三种 Challenge 的方式:

  • HTTP-01
  • NS-01
  • TLS-SNI-01 (已禁用)
  • TLS-ALPN-01

HTTP-01是目前最常见的验证方式,但是该验证方式需要通过80端口开放一个路径给Let's Encrypt访问它提供的 token来验证你的域名所有权,因此在80端口被封锁的情况下这个验证方式是不现实的;

类似的,TLS-ALPN-01需要通过443端口访问来验证,也是行不通;

这样对于国内家庭带宽用户来说就只剩下了一种方式:DNS-01。

了解这些后,解决方案就一目了然了,就是用DNS-01方式进行https验证。

有了这些信息,想法可行,接下来就是寻找合适的工具来实现了。

caddy给我们进行了很好的集成,基于golang的caddy就是一个编译过后的二进制文件,轻巧、实用。

caddy原生https的实现是基于Let's Encrypt的,想要使用DNS-01的https实现需要附带插件,这里我们阿里云的dns服务商,需要选择 github.com/caddy-dns/lego-deprecated;

下载完成后的caddy文件就是包含附件的可执行文件了;

接下来我们编写Caddyfile配置文件,有两个配置要点:

  1. 指定http和https监听端口;
  2. 配置请求指向;
{
http_port 1234
https_port 2234
}
xxx {
reverse_proxy localhost:8081
tls {
dns lego_deprecated alidns
}
}

配置完成还不行,我们需要按照lego_deprecated的文档,建立文件,配置以下:

ALICLOUD_ACCESS_KEY=xxx
ALICLOUD_SECRET_KEY=xxx

关键参数(此部分参数需要从阿里云后台进行获取),便于联系对应dns进行相关的操作;

最后使用caddy指令带上配置好的文件直接启动

caddy run --config Caddyfile --envfile alidns.env

大功告成!

使用caddy实现非标准端口https的更多相关文章

  1. TMG 2010 为HTTPS协议添加非标准端口(443)

    1.添加加密端口时,编辑脚本addsslports.vbs  addsslports.vbs 脚本内容如下: Dim root Dim tpRanges Dim newRange Set root = ...

  2. Wireshark分析非标准端口号流量

    Wireshark分析非标准端口号流量 2.2.2  分析非标准端口号流量Wireshark分析非标准端口号流量 应用程序运行使用非标准端口号总是网络分析专家最关注的.关注该应用程序是否有意涉及使用非 ...

  3. gitlab的docker安装,非标准端口,如何处理?

    这个问题的定义是: 如果我们不是用的80端口对外提供服务, 但gitlab的docker容器里的nginx却是80端口, 那么,在我们clone代码时,带的Http地址也会是80端口,这显然会出现问题 ...

  4. [转帖]Chrome中默认非安全端口

    Chrome,你这坑人的默认非安全端口 https://www.cnblogs.com/soyxiaobi/p/9507798.html 之前遇到过 这个总结的比之前那篇要好呢. 今天用chrome打 ...

  5. ISA 连接非443端口的https站点提示错误

    ISA 连接非443端口的https站点提示错误:12204 The specified Secure Sockets Layer (SSL) port is not allowed. ISA Ser ...

  6. Chrom Firefox 非安全端口访问

    使用Chrom Firefox 访问非安全端口 问题描述 Firefox 此网址已被限制 此网址使用了一个通常用于网络浏览以外目的的端口.出于安全原因,Firefox 取消了该请求. Chrome 无 ...

  7. Mac连接非22端口linux服务器

    Mac连接非22端口linux服务器 原文链接:https://www.cnblogs.com/blog5277/p/9507080.html 原文作者:博客园--曲高终和寡 1:ssh连接 打开终端 ...

  8. nginx在使用非80端口做反向代理【转】

    设置nginx反向代理,nginx在使用非80端口做反向代理时,浏览器访问发现返回302错误 upstream jboss{ server max_fails= fail_timeout=20s; s ...

  9. 把www.domain.com均衡到本机不同的端口 反向代理 隐藏端口 Nginx做非80端口转发 搭建nginx反向代理用做内网域名转发 location 规则

    负载均衡-Nginx中文文档 http://www.nginx.cn/doc/example/loadbanlance.html 负载均衡 一个简单的负载均衡的示例,把www.domain.com均衡 ...

随机推荐

  1. 深入浅出!springboot从入门到精通,实战开发全套教程!

    前言 之前一直有粉丝想让我出一套springboot实战开发的教程,我这边总结了很久资料和经验,在最近总算把这套教程的大纲和内容初步总结完毕了,这份教程从springboot的入门到精通全部涵盖在内, ...

  2. guitar pro系列教程(十九):Guitar Pro添加音符之前我们要做什么?

    前面的章节我们已经讲了不少关于{cms_selflink page='index' text='Guitar Pro'}的功能之类的讲解,那一般我们在打谱之前要做的是什么呢,很多新手玩家,对这方面也是 ...

  3. 两种方式教你搞定在mac中格式化磁盘的问题

    mac怎么格式化u盘?想必这是大部分苹果用户都会关心的一个问题.格式化u盘在我们日常工作中算是一个比较常规的操作了.但是在mac中随着系统版本不一样,格式化的方式也略有差别.今天,小编将以Mac OS ...

  4. 苹果电脑下载器Folx有没有自动下载功能

    苹果电脑下载器Folx提供了多项自动化任务功能,供用户更好地利用电脑的空闲时间,减少自己直接参与下载的时间,从而提升下载效率. 接下来,小编将重点介绍Folx自动化工作中的任务完成后的自动化工作.自动 ...

  5. iOS中如何使定时器NSTimer不受UIScrollView滑动所影响

    以下是使用 scheduledTimerWithTimeInterval 方法来实现定时器 - (void)addTimer { NSTimer scheduledTimerWithTimeInter ...

  6. 没有wget Loading mirror speeds from cached hostfile

    问题描述 新装的系统,没有一些常用命令的rpm包.使用ifconfig,报错 Loading mirror speeds from cached hostfile解决 网上解决方案是换数据下载源,但是 ...

  7. java41

    2019.8.7全部回顾完毕 收获:搞懂了以前不理解的内容 学会了Markdown语法 1. 将首字母变大写 public class _02将首字母变大写 { public static void ...

  8. 【2020.12.02提高组模拟】球员(player)

    题目 题目描述 老师们已经知道学生喜欢睡觉,Soaring是这项记录保持者.他只会在吃饭或玩FIFA20时才会醒来.因此,他经常做关于足球的梦,在他最近的一次梦中,他发现自己成了皇家马德里足球俱乐部的 ...

  9. 通过sql 语句将多行数据拼接到一行中

  10. python之Bug之字符串拼接bug

    \r\n拼接Bug 环境: python3.4.pycharm2017 偶然的学习中遇到了一个问题,百思不得姐,什么问题呢,大家输入太快了,难免有失误就如下面的代码 #构造响应数据 response_ ...