七牛免費(fèi)SSL證書，配置自定義域名CDN加速

時(shí)間：2023-02-01 00:56:01 | 來(lái)源：建站知識(shí)

時(shí)間：2023-02-01 00:56:01 來(lái)源：建站知識(shí)

本文鏈接：七牛免費(fèi)SSL證書，配置自定義域名CDN加速

前言

因?yàn)閷诓恢С諱arkdown，第一篇文章是自己用博客系統(tǒng)搞的。后來(lái)google了一下，發(fā)現(xiàn)這個(gè)問(wèn)題有談：本站編輯器應(yīng)該支持 Markdown 嗎？。

感謝@王杰提供了一個(gè)插件，Markdown here，比原來(lái)方便多了，雖然code還是要自己指定語(yǔ)言。


?

申請(qǐng)七牛SSL證書

其實(shí)，七牛在很早之前就支持CDN使用https，但是他要求證書的有效期是一年及以上，而我的主站用了Let’s Encrypt的免費(fèi)SSL證書，有效期90天，自動(dòng)續(xù)簽的形式。所以，為了使CDN的圖片也是https的，一直采用了七牛默認(rèn)的http://xxx.qnssl.com域名。

在11月，七牛發(fā)布了免費(fèi)SSL證書，亞洲誠(chéng)信的DV證書。申請(qǐng)起來(lái)也很簡(jiǎn)單，參見七牛SSL證書申請(qǐng)。當(dāng)然，申請(qǐng)的證書只能用于CDN加速。

綁定自定義域名

通過(guò)個(gè)人面板-證書管理，我申請(qǐng)了域名為http://static.excaliburhan.com的SSL證書，驗(yàn)證成功后，接下來(lái)就是綁定自定義域名了。進(jìn)入七牛云空間首頁(yè)，點(diǎn)擊對(duì)象存儲(chǔ)，選擇你想要使用https的bucket，在融合 CDN加速域名自定義域名點(diǎn)擊右邊，進(jìn)行添加自定義域名。

在通信協(xié)議選項(xiàng)中選擇HTTPS，可以選擇或者手動(dòng)填寫證書。如果申請(qǐng)成功，下拉就可以看到我們的證書了。選中后，七牛會(huì)自動(dòng)填寫證書內(nèi)容和私鑰。這時(shí)，不要急著點(diǎn)擊完成，將證書內(nèi)容復(fù)制保存為certificate.crt（名字可以自行改，后綴需要保持一下，下同），將私鑰內(nèi)容復(fù)制保存為certificate.key，為后面配置做準(zhǔn)備。這么做的原因主要是，我不知道怎么去下載證書內(nèi)容和私鑰，所以就采用這種比較原始的方法了。如果你知道的話，請(qǐng)告訴我。

最后，填完所有內(nèi)容之后，點(diǎn)擊創(chuàng)建即可。這時(shí)，添加的域名應(yīng)該還處于審核狀態(tài)，需要你添加CNAME，按照要求填寫CNAME之后，進(jìn)入nginx設(shè)置環(huán)節(jié)。

nginx設(shè)置

由于我的主站使用的Let’s Encrypt證書，并且沒(méi)有進(jìn)行泛域名的配置，實(shí)際上Let’s Encrypt也暫時(shí)不支持。那么，對(duì)http://static.excaliburhan.com進(jìn)行設(shè)置。

首先，我們需要把保存的certificate.crt和certificate.key傳到服務(wù)器的相應(yīng)目錄，我這的目錄是/etc/nginx/certs。nginx簡(jiǎn)單配置如下。

server { listen 443 ssl http2; server_name static.excaliburhan.com; ssl on; ssl_certificate /etc/nginx/certs/certificate.crt; ssl_certificate_key /etc/nginx/certs/certificate.key;}重啟nginx，將七牛CDN的域名換成自定義的域名，發(fā)現(xiàn)Chrome報(bào)錯(cuò)：隱私設(shè)置錯(cuò)誤。研究發(fā)現(xiàn)，主要是我nginx主站設(shè)置了HSTS和HPKP，并且都設(shè)置了includeSubDomains。而我的主站使用的SSL證書和七牛的SSL證書并不是一個(gè)廠商，所以，請(qǐng)求被當(dāng)成了劫持攻擊了！

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";add_header Public-Key-Pins ...(pin-sha256指紋設(shè)置);max-age=604800; includeSubDomains;解決方法就是去掉includeSubDomains。

add_header Strict-Transport-Security "max-age=31536000";add_header Public-Key-Pins ...(pin-sha256指紋設(shè)置);max-age=604800;而且我還去掉了preload，原因有二，一是preload list申請(qǐng)必須包含includeSubDomains；二是個(gè)人網(wǎng)站申請(qǐng)Chrome的preload list基本無(wú)效。

除此之外，還要添加七牛SSL證書的CA的Public Key指紋，七牛的SSL證書是TrustAsia DV SSL CA - G5，指紋是IiSbZ4pMDEyXvtl7Lg8K3FNmJcTAhKUTrB2FQOaAO/s=。當(dāng)然你也可以采用根證書VeriSign Class 3 Public Primary Certification 的指紋：JbQbUG5JMJUoI6brnx0x3vZF6jilxsapbXGVfjhN8Fg=。不推薦使用站點(diǎn)證書生成的指紋。

添加完畢后，使用service nginx restart重啟nginx即可。

后話

你也看到了，我的Public-Key-Pins設(shè)置了大概一周時(shí)間的max-age，所以一周內(nèi)訪問(wèn)過(guò)我的網(wǎng)站，很有可能出現(xiàn)http://static.excaliburhan.com的靜態(tài)資源加載不出來(lái)的情況。這時(shí)候，如果是Chrome，你可以在chrome://net-internals/#hsts中，手動(dòng)delete domain：http://excaliburhan.com。

為了證明現(xiàn)在的靜態(tài)資源是使用自定義域名的，放張圖。額，本站專欄不能放外鏈的圖片，還是去博客看吧～


?


?