Typecho建站记(二)---ssl加密及域名转发

-

      上一篇博文中我已经把typecho站点建好,但是此时的站点是没有经过ssl加密,有可能会被运营商劫持或被中间人攻击,另外没有加密的网站在搜索引擎中的权重相对是比较低的,因此给网站加上ssl加密还是很有必要的。这里我用Certbot自动配置lets-encrypt的证书,在debian9系统中实现。
        添加ssl加密
        因为certbot需要用到stretch-backports,而stretch-backports在Debian自带源中是没有的,需要添加源,注意下面四行是一个命令,全部复制到终端后执行即可。

cat >> /etc/apt/sources.list<<EOF
# backports
deb http://deb.debian.org/debian stretch-backports main
EOF
        然后执行更新
  • apt update
        安装certbot
  • apt install certbot python-certbot-apache -t stretch-backports -y
        运行certbot
  • certbot --apache
        运行后会有对话框,按下图选择对应的选项即可。
        至此ssl加密已经设置完成,而且域名转发也开启了,但是此时的转发是不够完美的,还需要自己再添加规则。

        完善域名转发
        前面在购买域名的时候我们添加了两条解析记录,现在又设置了加密,这样的话就会出现4个网址组合,如下示例:
http://example.com
http://www.example.com
https://example.com
https://www.example.com
        这样对我们的访客是不友好的,而且搜索引擎也会将这当做四个不同的网站来收录,无形中降低了网站在搜索引擎中的排名。因此我们需要把这四个域名统一起来,这里就需要用到域名转发了。上面设置ssl加密的时候,certbot已经设置好了其中一个http网址的转发,因此我们把另外一个网址添加到转发规则里面就可以了。
        使用winscp登陆进服务器,进入etc/apache2/sites-available文件夹,里面的000-default.conf就是http页面的配置文件,右击---编辑,把RewriteEngine on后面的这段内容改为(红色为新添加内容)
RewriteEngine on
RewriteCond %{SERVER_NAME} =example.com [OR]
RewriteCond %{SERVER_NAME} =www.example.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
        重启服务器后,两个http域名可以跳转到https页面了,现在剩下https://example.com跳转到https://www.example.com需要解决。

        但是针对https页面直接添加转发规则是不行的,因为浏览器针对https域名会先验证证书与域名是否相符,不相符的话则停止访问,因此不会触发到服务器里面的跳转规则。
        因此我们需要给https://example.com也加上ssl加密,以便浏览浏览器可以继续访问我们的服务器。
        首先我们需要添加https://example.com域名到服务器中,使用winscp进入etc/apache2/sites-available,把000-default-le-ssl.conf(https://www.example.com的配置文件)下载到本地,名字修改为111-default-le-ssl.conf后重新上传到原文件夹,然后右击编辑,找到ServerName www.example.com这一行,修改为ServerName example.com(注意这里的example是示例,实际操作时为你自己的域名,前面是没有#号注释的),保存。
        然后ssh登陆到服务器,进入到etc/apache2/sites-enabled文件夹,给刚刚新建的111-default-le-ssl.conf做一个软链以启用这个配置。
  • cd /etc/apache2/sites-enabled
  • a2ensite 111-default-le-ssl.conf
        重启我们的服务器,然后和前面添加ssl加密一样运行certbot,给https://example.com添加ssl加密,注意此时第四步会出现域名选择列表,选https://example.com这个域名即可。
  • certbot --apache

        现在我们可以给https://example.com添加转发规则了,winscp登陆进服务器,进入etc/apache2/sites-available文件夹,右击111-default-le-ssl.conf,在</VirtualHost>前面添加下列转发规则,然后保存。
RewriteEngine On
RewriteCond %{HTTP_HOST} !^www.example.com$ [NC]
RewriteRule ^(.*)$ https://www.example.com$1 [L,R=301]
        重启服务器,现在无论用哪一个网址访问,都会跳转到https://www.example.com了。

        自动更新证书(未验证)
        lets-encrypt的免费证书只有三个月的期限,三个月后需要重新申请证书,好在certbot自带了更新证书的功能,我们要做的就是让它每三个月执行一次,只需执行下记命令添加计划任务到crontab中即可。
  • echo "0 0,12 * * * python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew" >> /etc/crontab
        至此typecho博客总算是折腾好了,可以放心的记录日常了。另ssh客户端及winscp使用可参考我前面的博文Vultr自建SS服务超简单的自建SSR教程。没有服务器的同学可以去vultr买一个,现在vultr搞活动,通过我的推广链接https://www.vultr.com/?ref=7888839-4F注册vultr帐号有50美金的体验金。

参考文章:
另因参考文章较多,有些网页未及时收藏导致未在此列出,在此一并表示感谢。

评论

发表评论

热门博文

小米路由器mini 刷LEDE及安装SSR

-
图片
        前几篇blog我们已经说过怎么架设自己的SS/SSR服务器了,但是现在每个人手里一般都有好几个上网设备,再在每一台设备上面运行SS/SSR客户端会很麻烦不说,个别设备上面还不一定有客户端SS/SSR(比如chrome cast),因此,在设备接入网络前就设置好翻墙环境还是很有必要的。         准备硬件:小米路由mini一个,容量大于256M的U盘一个,PC电脑一台。         准备软件:SSH软件(本文用的是putty: http://www.putty.org/ ), SCP文件管理(本文用的是winscp:  https://winscp.net/eng/download.php ), 小米旧开发版固件 https://drive.google.com/open?id=0Bya4YkC1EYGUMUhWeU5zMEhwRms , ssh开启固件 https://drive.google.com/open?id=0Bya4YkC1EYGUMDluNnFLY0x5cU0 , LEDE固件 https://downloads.lede-project.org/releases/17.01.4/targets/ramips/mt7620/lede-17.01.4-ramips-mt7620-miwifi-mini-squashfs-sysupgrade.bin ssr-libev(gfw版): https://drive.google.com/drive/folders/1qtrD6qc8YklKOTnu2TVUAtDM4QEqMZ5U         一、获取小米mini的SSH密码:按照此教程 http://bbs.xiaomi.cn/t-9921071 获取自己的SSH密码,注意:路由器需先登陆自己的小米帐号绑定。         二、刷入旧的开发版固件:这里是小米设的坑,刷最新版的固件会导致无法正常开启路由器的SSH管理功能,刷入旧的开发版固件可解决此问题。刷入方法:下载固件...
阅读全文 »

如何使用SS/SSR本地代理

-
图片
        由于最近谷歌play服务更新后,安卓会将手机开代理的wifi流量判为移动流量,导致有G友经常在社群里说无法备份照片或者无法下载每月更新包,虽然对有翻墙路由器的朋友来说这是一个不是问题的问题,但对没有翻墙路由器的G友来说还真是个闹心的事。不过好在PC端的SS是自带本地代理功能的,只需简单的设置,就可以让移动设备通过PC端的SS进行代理上网,从而解决上述的问题。         首先,当然是在电脑上安装SS软件,设定好服务器并开启本地代理功能,没有下载的朋友可以到 shadowsocks的GitHub发布页 下载,一图胜千言,直接参照下图设定就可以了:         在选中“允许来自局域网的连接”的时候,会弹出windows的防火墙菜单,如果你不记得自己当初选择的网络是公用网络还是私人网络的话,就把两个选项都选上好了,如下图:         有了本地代理的端口,我们还要知道本地代理的IP地址,也就是开着SS服务的电脑的内网IP地址,还是照着下图查看一下也很容易找到的:         在确保电脑已经可以正常连接墙外网站后,现在我们需要到移动设备里面去设置,将手机连接到和电脑在同一个路由器的网络后,进wifi设置中设置好代理就可以了,如下图:         至此,手机上已经像连接了翻墙路由器那样翻墙了,可以正常备份照片及更新系统,当然,这只是一个临时的解决方案,如果想要一劳永逸的话还是上一个翻墙路由器吧。         另外SSR的本地代理开启方式除了具体选项的位置可能和SS有差异以外,其方法是一样的。
阅读全文 »