为网站添加HTTPS支持

自己搭建的Web服务为了更安全启用HTTPS

Posted by 晨曦 on July 7, 2020

目录

1. 搭建Web服务

首先安装python的flask库,可以使用以下代码:
pip install -i https://pypi.tuna.tsinghua.edu.cn/simple flask
然后编写最简单的flask项目,只需创建目录/home/ubuntu/www/用于存放代码,创建目录/home/ubuntu/www/log/用于存放日志,再创建一个/home/ubuntu/www/main.py文件,内容如下:

# 导入Flask类
from flask import Flask

# 实例化Flask
app = Flask(__name__)

# route()方法用于设定路由
@app.route('/')
def hello_world():
    return 'Hello, World!'

if __name__ == '__main__':
    # host为0.0.0.0表示所有IP均可访问此Web服务
    app.run(host="0.0.0.0", port=5000, debug=False)

最后输入命令python3 main.py即可运行此项目

2. 安装nginx

更新软件源:sudo apt-get update
安装nginx:sudo apt-get install nginx
访问云主机的ip确认nginx安装成功
修改nginx配置文件:sudo vi /etc/nginx/nginx.conf
http{}合适位置添加以下代码
一定要将http{}里面的最后两个include行注释掉,修改才会生效

    server{
        listen 80;
        server_name web.example.cn;
        access_log /home/ubuntu/www/log/access.log;
        error_log /home/ubuntu/www/log/error.log;
        location /{
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_redirect off;
            proxy_buffering off;
            proxy_pass http://127.0.0.1:5000;
        }
    }

不重启重新载入最新配置文件内容:sudo service nginx reload
停止nginx服务:sudo service nginx stop
重启nginx服务:sudo service nginx restart
另外在域名服务商添加一条名称为web的A记录解析到本云主机的IP即可访问http://web.example.cn,会看到网页返回Hello, World!

3 安装ACME自动签发证书

https证书是Let’s Encrypt网站签发的,每次有限期三个月,手动申请很麻烦,所以使用ACME工具来自动申请和续期

3.1 安装证书

安装很简单,只需要一个命令:curl https://get.acme.sh | sh
此命令实际帮用户进行以下操作:

  • acme.sh安装到用户的home目录下,即~/.acme.sh/
  • 创建一个bash的alias, 方便使用:alias acme.sh=~/.acme.sh/acme.sh
  • 自动创建cronjob, 每天 0:00 点自动检测所有的证书, 如果快过期了, 需要更新, 则会自动更新证书

如果~目录下无.bashrc需要手动创建;如果用户ssh重新登录,.bashrc文件不会自动生效,需要进行下一步
终端输入vim .bash_profile,然后写入以下内容:

if [ -s ~/.bashrc ]; then
    source ~/.bashrc;
fi

安装过程不会污染已有的系统任何功能和文件, 所有的修改都限制在安装目录中: ~/.acme.sh/

3.2 生成证书

首先登录DNSPod,它已被腾讯云收购,可直接使用腾讯云账户登录。在里面创建API接口和秘钥。然后在命令行输入:

export DP_Id="152345"
export DP_Key="235b55ffd5a4588aabbccee1e2e5a74a"
acme.sh --issue  -d example.cn -d *.example.cn --dns dns_dp

等待验证DNS和创建证书即可(接口和秘钥信息会被自动保存在~/.acme.sh/account.conf配置文件,方便自动续期)。这里生成主域名example.cn的证书和泛域名*.example.cn证书

3.3 安装证书

sudo mkdir /etc/nginx/ssl/
sudo chmod -R 777 ssl
acme.sh --install-cert -d example.cn \
--key-file /etc/nginx/ssl/example.cn.key \
--fullchain-file /etc/nginx/ssl/example.cn.cer \
--reloadcmd "service nginx force-reload"

在终端输入sudo vim /etc/nginx/ssl/example.cn.ssl.conf来创建ssl配置的单文件example.cn.ssl.conf,文件内容为:

ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_certificate ssl/example.cn.cer;
ssl_certificate_key ssl/example.cn.key;

最后sudo vim /etc/nginx/nginx.confserver{}里面添加一行:include ssl/example.cn.ssl.conf;,最终的代码如下:

    server{
        listen 80;
        server_name web.example.cn;
        access_log /home/ubuntu/www/log/access.log;
        error_log /home/ubuntu/www/log/error.log;
        include ssl/example.cn.ssl.conf;
        location /{
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_redirect off;
            proxy_buffering off;
            proxy_pass http://127.0.0.1:5000;
        }
    }

此时不重启重新载入最新nginx配置文件内容sudo service nginx reload,即可访问https://web.example.cn,会看到网页返回Hello, World!

4. 使用logrotate自动切割日志文件

如果某个web服务自己会产生日志(步骤1中的Python程序,可以使用logging.handlers.RotatingFileHandler来分割日志文件),且没有自带的分割日志文件的功能,那么我们可以借助logrotate实现分割,这里我们对nginx的日志文件进行分割
创建/etc/logrotate.d/nginx-myweb文件,内容如下

/home/ubuntu/www/log/access.log /home/ubuntu/www/log/error.log{
    weekly
    minsize 10M
    rotate 10
    missingok
    dateext
    notifempty
    sharedscripts
    postrotate
        [ -e /usr/local/nginx/logs/nginx.pid ] && kill -USR1 `cat /usr/local/nginx/logs/nginx.pid`
    endscript
}

系统会定时运行logrotate,一般是每天一次,可以在此文件/etc/cron.daily/logrotate查看

晨曦 / -  views
Published under(CC) BY-NC-SA 4.0.