使用Go和Let's Encrypt证书部署HTTPS
为什么要使用HTTPS?使用HTTPS的途径有哪些?如何用Go来部署HTTPS?拿出你的小本本,你要的干货都在这儿!
HTTPS的好处我们已在之前的文章中提高好多。它加密浏览器和服务器之间的流量,保障你密码传输的安全,让你的页面加载速度飞快,有助于网站的SEO优化还有对HTTP网站百般嫌弃的浏览器厂商......这些都是使用HTTPS的理由。那么问题来了,怎样可以又快又好地部署HTTPS呢?
使用第三方提供的HTTPS
比如说CloudFlare,他们的免费方案为你那仅支持HTTP的网站提供仿HTTPS代理服务。
要使用CloudFlare:
- 配置你的域,使用CloudFlare的DNS服务器
- 在CloudFlare的DNS设置中,将域指向你的服务器,并通将“状态”设为“DNS和HTTP代理服务器(CDN)”
- 在CloudFlare的加密设置中,将SSL设为“灵活”(该选项使浏览器通过HTTPS与CloudFlare对话,CloudFlare通过HTTP与浏览器对话)
- 在web管理界面配置CloudFlare的HTTPS代理,提供你的服务器的IP地址。
- 除此之外,还要启用“总是使用HTTPS”选项
浏览器与CloudFlare对话,CloudFlare负责提供SSL证书,并代理通向你的服务器的通信。由于额外的通信量,这可能会减慢网络速度,也可能由于CloudFlare服务器比你的服务器要快(变得更快是他们的工作),所以导致网络速度变快。
AWS、谷歌云以及其它一些主机服务提供商也为托管在他们那里的服务器提供免费HTTPS服务。
另一个选项是在支持HTTPS的反向代理服务器(如Caddy)后面运行你的服务器。
直接支持HTTPS
很久很久以前,想要一张ssl证书就必须每年为一个域名花很多钱。而现在,Let's Encrypt改变了这一切。
这是一个非营利性机构,它提供免费证书,并且提供HTTP API来获得证书。API允许自动化处理这一过程。
在Let’s Encrypt出现之前,你可能会购买一个证书,而这仅仅是一串字节而已。你会把证书存放在一个文件中,并配置你的网络服务器来使用它。
有了Let’s Encrypt以后,你就能够使用他们的API来免费获得证书了,而且这一过程是在你的服务器启动后自动完成的。
值得庆幸的是,所有与API进行对话的艰苦工作都已由其他人做完了。我们只需要安装插件就可以了。
有两个Go库可以实现Let’s Encrypt支持。
我一直在使用golang.org/x/crypto/acme/autocert,它是由Go的核心开发人员开发的。
现在已经有几个月了,它运行一切正常。
下面是怎样启动一个使用Let’s Encrypt提供的免费SSL证书的HTTPS网络服务器的方法。
完整的例子请看:free-ssl-certificates/main.go。
const (
htmlIndex = `Welcome!`
inProduction = true
)
func handleIndex(w http.ResponseWriter, r *http.Request) {
io.WriteString(w, htmlIndex)
}
func makeHTTPServer() *http.Server {
mux := &http.ServeMux{}
mux.HandleFunc("/", handleIndex)
// set timeouts so that a slow or malicious client doesn't
// hold resources forever
return &http.Server{
ReadTimeout: 5 * time.Second,
WriteTimeout: 5 * time.Second,
IdleTimeout: 120 * time.Second,
Handler: mux,
}
}
func main() {
var httpsSrv *http.Server
// when testing locally it doesn't make sense to start
// HTTPS server, so only do it in production.
// In real code, I control this with -production cmd-line flag
if inProduction {
// Note: use a sensible value for data directory
// this is where cached certificates are stored
dataDir := "."
hostPolicy := func(ctx context.Context, host string) error {
// Note: change to your real domain
allowedHost := "www.mydomain.com"
if host == allowedHost {
return nil
}
return fmt.Errorf("acme/autocert: only %s host is allowed", allowedHost)
}
httpsSrv = makeHTTPServer()
m := autocert.Manager{
Prompt: autocert.AcceptTOS,
HostPolicy: hostPolicy,
Cache: autocert.DirCache(dataDir),
}
httpsSrv.Addr = ":443"
httpsSrv.TLSConfig = &tls.Config{GetCertificate: m.GetCertificate}
go func() {
err := httpsSrv.ListenAndServeTLS("", "")
if err != nil {
log.Fatalf("httpsSrv.ListendAndServeTLS() failed with %s", err)
}
}()
}
httpSrv := makeHTTPServer()
httpSrv.Addr = ":80"
err := httpSrv.ListenAndServe()
if err != nil {
log.Fatalf("httpSrv.ListenAndServe() failed with %s", err)
}}
需要注意的是:
- HTTPS的标准端口是443。
- 你可以只运行HTTP、只运行HTTPS或两者都运行。
- 如果服务器没有证书,那么它将会使用HTTP API向Let’s Encrypt服务器请求证书。
这些请求被限制到每周处理20个,以避免Let’s Encrypt服务器过载。
因此,在某个地方缓存证书是非常重要的。在我们的例子中,我们将证书缓存到磁盘上,使用的是autocert.DirCache命令。
缓存只是一个界面,所以你可以在一个SQL数据库或Redis中执行你所存储的。
- 你必须正确安装DNS。
为核实你确实是你所申请证书的域的所有者,Let’s Encrypt服务器会回叫你的服务器。
为了正常工作,DNS名必须解析到你的服务器的IP地址。
这意味着,HTTPS代码-路径的本地测试是很难的。我通常不这么做。
如果你真的想这么做,你可以使用ngrok来将你的本地端口暴露给互联网,设置DNS来将你的域名解析到ngrok创建的公共DNS上,然后等待确认DNS信息传给Let’s Encrypt的计算机。
- 你可能会好奇:这个HostPolicy业务是什么?
正如我提到的, Let’s Encrypt限制了证书供应,所以你需要确保服务器不会向其请求你不关心的域的证书。Autocert的文档很好地解释了这一点。
我们的例子假设的是最常见的情况:一个服务器仅响应一个域。你可以很容易地改变这一点。
- 在本地测试时,我们不运行HTTPS。
当在你的笔记本电脑上进行本地测试时,运行HTTPS版本是毫无意义的。
你的计算机很可能没有可见公用IP地址,所以Let’s Encrypt服务器无法达到你那里,所以你将不会得到证书。
我们也不能绑定到HTTPS端口443(只有根进程可以绑定到1024以下的端口)。
在这个例子中,我使用inProduction标记来决定是否应该启动HTTPS服务器。
在实际代码中,我会加入检查-production命令行标志的代码,并使用它。
从HTTP重定向到HTTPS
如果你能够使用HTTPS了,那么提供纯HTTP就毫无意义了。
我们可以将所有HTTP请求重定向到同样的HTTPS上,以获得更好的安全性和搜索引擎优化效果。func makeServerFromMux(mux *http.ServeMux) *http.Server {
// set timeouts so that a slow or malicious client doesn't
// hold resources forever
return &http.Server{
ReadTimeout: 5 * time.Second,
WriteTimeout: 5 * time.Second,
IdleTimeout: 120 * time.Second,
Handler: mux,
}
}
func makeHTTPToHTTPSRedirectServer() *http.Server {
handleRedirect := func(w http.ResponseWriter, r *http.Request) {
newURI := "https://" + r.Host + r.URL.String()
http.Redirect(w, r, newURI, http.StatusFound)
}
mux := &http.ServeMux{}
mux.HandleFunc("/", handleRedirect)
return makeServerFromMux(mux)
}
func main() {
httpSrv := makeHTTPToHTTPSRedirectServer()
httpSrv.Addr = ":80"
fmt.Printf("Starting HTTP server on %s\n", httpSrv.Addr)
err := httpSrv.ListenAndServe()
if err != nil {
log.Fatalf("httpSrv.ListenAndServe() failed with %s", err)
}
}
技术部分到此为止了。
免费证书从何而来?
有种意见认为,由于一个设计错误,SSL协议不仅进行加密,还会向浏览器证明网站的身份。它担负着责任,使得我们可以追踪google.com网站的所有者,并且看到该网站的确是由美国谷歌公司,而不是由莫斯科的黑客伊万所有。
我们只信任极少数公司(证书颁发机构)会颁发能够证明网站所有者身份的证书。
当你申请一个证书时,证书颁发机构必须核实你的身份。他们通过查看你的文件来做这项工作。
核实文件需要人力。保证证书安全也需要人力。证书颁发机构为颁发证书而收费是合理的。
信任并不是成比例的。浏览器和操作系统销售商可以信任10家公司不会颁发无效证书,但他们不可能信任1000家。
我们不想让随便一家公司变成骗子证书颁发机构,然后为黑客伊万颁发google.com域的证书。
为了得到仅有的几个理想结果而连续审核数千家证书颁发机构,将会花费太多的精力。
由少数几家公司控制市场很可能导致垄断,这样,由于缺乏竞争,价格将居高不下。
这正是SSL证书市场当前的行情。你每年只花60美元就可以拥有一台低端服务器,但一个证书却比这要昂贵。
这是一个问题,因为SSL证书的成本是所有网站采用加密技术的明显障碍。
少数几家公司决定共享他们的资源来解决这一问题,从而更有利于整个互联网。于是他们资助了Let’s Encrypt这样一家证书颁发机构,然后编制一些必要的软件并运营着颁发证书的服务器。
这就是免费证书的来历。
使用Go和Let's Encrypt证书部署HTTPS的更多相关文章
- 在Ubuntu/Centos使用 Let's Encrypt 证书部署 HTTPS的方法
certbot地址 apache服务器(ubuntu环境): 1.获取软件包: $ sudo apt-get update $ sudo apt-get install software-proper ...
- SSL证书部署HTTPS站点Apache/Nginx配置
SSL证书及HTTPS协议 SSL 证书是一种数字证书,它使用 Secure Socket Layer 协议在浏览器和 Web 服务器之间建立一条安全通道,从而实现:1.数据信息在客户端和服务器之间的 ...
- Nginx自建SSL证书部署HTTPS网站
一.创建SSL相关证书 1.安装Nginx(这里为了测试使用yum安装,实际看具体情况) [root@localhost ~]# yum install nginx -y #默认yum安装已经支持SS ...
- Nginx配置SSL证书部署HTTPS网站
1.购买ssl证书 购买网站:沃通 2.上传证书到nginx服务器,然后进行解压. 解压后的的效果: [root@bubidev-ng3 nginx]# pwd/etc/nginx [root@bub ...
- Nginx配置SSL证书部署HTTPS方法
1.申请域名,绑定服务器ip(我申请的是阿里云服务器,以下就此为例) 2.可以在阿里云上免费申请SSL证书(下载证书,后续会用到) 3.在服务器中配置证书 在服务器上安装Nginx 将下载好的证书上传 ...
- 关于阿里云Symantec免费DV证书部署HTTPS
获取阿里云Symantec免费DV证书: 官方文件说明: 证书文件214188487290026.pem,包含两段内容,请不要删除任何一段内容. 如果是证书系统创建的CSR,还包含:证书私钥文件214 ...
- Nginx配置SSL证书部署HTTPS网站(颁发证书)
一.Http与Https的区别HTTP:是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高 ...
- windows server2012之部署HTTPS安全站点
现在的互联网越来越重视网络安全方面的内容,像我们日常生活中浏览的网上银行网站等涉及安全的你都会发现有https 的标志出现,在URL前加https://前缀表明是用SSL加密的. 你的电脑与服务器之间 ...
- 快速签发 Let's Encrypt 证书指南
本文仅记录给自己的网站添加"小绿锁"的动手操作过程,不涉及 HTTPS 工作原理等内容的讲解,感兴趣的同学可以参考篇尾的文章自行了解. 简单了解下我的实验环境: 云服务器:Cent ...
随机推荐
- css清除浮动的集中方法
一:浮动产生的副作用 1.父元素的背景不能显示 2.父元素的边框不能撑开 3.padding和margin失效 二:清除浮动的方法 1.给父元素设置高度:这样可以清除浮动,但是子元素内容高度不固定,这 ...
- Bash的条件表达式求值
Bash的条件控制允许两种类型:1)命令的成功或失败 2)逻辑表达式的真假这两种类型都可以通过退出状态($?)来检验,$?=0为真,否则为假 一.命令的成功或失败 通过查看$?值$echo $? 二. ...
- JavaScript中的string对象及方法
string对象 string对象的两种创建 var a="hello"; var b=new String("hello"); //下面是方法 //charA ...
- CSS设置一行文字,超出部分自动隐藏
.textone { overflow: hidden; text-overflow: ellipsis; display: -webkit-box; line-height: 25px; max-h ...
- v9 频道页如果有下级栏目跳转到第一个栏目链接
{if $CATEGORYS[$catid]['child']==1} {php $firstarr = explode(',',$CATEGORYS[$catid]['arrchildid']);} ...
- ecshop 商品分类页 取得当前分类下的子分类方法
ecshop的商品分类页面category.php 下的分类,默认是取得所有同级父分类以及父类别的子分类.比如,我点击进入是A商品分类的页面 category.php?id=1,事实上 我只需要取得父 ...
- Xmanager连接到RedHat Enterprise Linux 6.8
RedHat Enterprise Linux 6 配置Xmanager ,实现图形界面连接 X是用在大多数UNIX系统中的图形支持系统.如果你在你的Linux机器上使用GNOME或者KDE的话,你就 ...
- 超好用的memcache管理及可视化监控工具,真方便!
memcache做为主流的缓存数据库之一,广泛在各互联网平台使用,但是大家使用中都知道memcache目前没有一个比较好用的可视化客户端工具,每次都要输入命令进行操作,十分不方便. 而另一款主流缓存 ...
- css加载会造成阻塞吗?
终于考试完了,今天突然想起来前阵子找实习的时候,今日头条面试官问我,js执行会阻塞DOM树的解析和渲染,那么css加载会阻塞DOM树的解析和渲染吗?所以,接下来我就来对css加载对DOM树的解析和渲染 ...
- dynamic-load-apk 插件与宿主方法互调
新建项目 DlPluginHost,下载dynamic-load-apk源码 1.将dynamic-load-apk 文件夹中的lib做为module导入到DlPlginHost 2.导入到Plugi ...