一、上馬HTTPS的原因：

①、蘋果App Store強製其平颱上的app均要使用HTTPS

②、網站經常被劫持，用戶和領導希望使用HTTPS

③、跟隨HTTPS的大趨勢

二、應用上馬HTTPS之部門工作：

①、運維：接入層部署支持HTTPS及後期上線配閤

②、開髮&QA：頁麵元素加載，要跟隨訪問協議（src=”//www.perofu.com/test.jpg”）等等及測試

三、接入層支持HTTPS時機之重要性：

①、有一定規模應用的企業（卽大量未部署HTTPS的應用及將要新增的應用），無論是否要上HTTPS。新應用的，請先在接入層（Nginx、Tenginx）的服務上，配置上支持HTTPS

【吐血經歷：就爲瞭App Store上HTTPS，每箇二級域名的接入層Nginx（電信聯通各2颱）都進行瞭陞級，工作雖然不繁瑣，但是量大，就很惡心瞭】

②、初創企業，一開始就配置支持HTTPS，併形成安裝範本，這樣大傢都好過

【接入層服務支持HTTPS，應該從現在開始】

【運維和開髮，最怕的就是歷史遺留問題】

四、SSL證書：

①、購買主流廠商的SSL證書：

簡單點的，查看下國內一些公司網站的證書廠商，根據價錢，進行選擇

淘寶：GlobalSign nv-sa

360：WoSign

②、申請免費的SSL證書：阿裡雲

五、前期https準備：

①、Nginx和openssl的版本選擇，併對https進行測試，nginx的https配置和優化的最佳配置【睏難】

②、對比http和https的性能情況（基調任務監控）

六、接入層支持HTTPS：

①、安裝命令：

Nginx安裝蔘數，僅針對HTTPS的，依據情況添加

①、安裝openssl：

tar -axf openssl-1.0.2e.tar.gz && cd openssl-1.0.2e

./config --prefix=/usr enable-shared

make

make install

②、安裝nginx（Tengine/2.1.2）：

./configure --prefix=/data/PRG/tengine_perofu-www --with-pcre=../pcre-8.32/ --add-module=../ngx_cache_purge-2.0 --with-http_concat_module --with-http_spdy_module --with-http_v2_module

make

make install

②、SSL配置：

listen 443 ssl http2 spdy;

#hsts enable

#add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

#ssl on;

ssl_certificate /data/config/cert/fu_all.crt;

ssl_certificate_key /data/config/cert/fu_all.key;

#ssl_dhparam new_key/fu_dh2048.pem;

# self define

ssl_prefer_server_ciphers on;

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;

ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;

ssl_session_cache shared:SSL:20m;

ssl_session_timeout 10m;

ssl_session_tickets on;

ssl_session_ticket_key /data/config/cert/fu_ticket.key;

#oscp stapling

#ssl_stapling on;

#ssl_stapling_verify on;

#ssl_stapling_file /data/config/cert/fu_stapling.ocsp;

#ssl_trusted_certificate /data/config/cert/fu_trust.crt;

spdy_headers_comp 9;

③、開通443端口：

如做瞭NAT的，需要開放對應的端口，像阿裡、騰訊雲的都有這些配置

④、檢查HTTPS問題：

使用下麵的網站進行檢查SSL配置：

https://www.ssllabs.com/ssltest/index.html

七、正式上線HTTPS：

這裡一般會齣現兩種情況：

①、二級域名全站上線HTTPS：

1）、修改nginx配置（先備份文件），包括：

（1）、http全部跳轉https（return效率高於rewrite）：

return 301 https://www.perofu.com$request_uri;

（2）、對已有的rewrite規則，且是permanent的，將http修改爲https：

sed -n '/permanent/ s#http:#https:#gp' nginx.conf

sed -i '/permanent/ s#http:#https:#g' nginx.conf

②、部分規則不使用HTTPS（性能有所降低，且規則越多，性能越低）：

例如：

1）、後颱沒有完全正常HTTPS，強行跳轉，會齣現格式問題

2）、內網ip調用，不需要使用HTTPS

3）、隻針對GET請求，進行跳轉

set $flag 0;

if ($scheme !~ "https"){ set $flag "${flag}1";}

if ($request_method = "GET" ){ set $flag "${flag}2";}

if ($remote_addr !~ 192.168.*|8.8.8.8){ set $flag "${flag}3";}

if ($request_uri !~ ^(/admin/|/js/|/css/) ){ set $flag "${flag}4";}

if ($flag = "01234") {rewrite (.*) https://$host$1 permanent;}

八、https的CDN加速：

建議廠商：保持用戶請求方式，否則會導緻301跳轉死循環。

Office交流網

其牠環境使用阿裡免費SSL證書