囉哩巴唆

小蛙剛接觸 nginx 的時候，真是吃盡了苦頭，雖然說功能非常強大，但是有些功能 google 了好久才勉強達到，這裡提供的一些作法也許不是最好，小蛙相信有更優雅的作法，不過至少能達成小蛙的需求，正所謂能解決問題的就是好方法！先達到功能，之後看到更好的作法再慢慢修正。

準備所需的 crt 及 key

把從 SSL For Free – 免費又有綠色鎖頭的 SSL Certificates 下載回來的 3 個檔案，分別是 ca_bundle.crt, certificate.crt, private.key，接下來我們要將 ca_bundle.crt 與 certificate.crt 合併，如果是用 windows 的話，用筆記本新增一個檔案叫做 bundle.crt，然後分別將 certificate.crt 跟 ca_bundle.crt 這兩個檔案的內容貼進 bundle.crt，要注意有沒有不小心複製到換行，或是空白字元，大概會變成下面這樣

-----BEGIN CERTIFICATE-----
...
certificate.crt 的內容
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
ca_bundle.crt 的內容
...
-----END CERTIFICATE-----

如果像小蛙一樣使用 Linux 的話，可直接輸入

>cat certificate.crt ca_bundle.crt >> bundle.crt
// 接著用編輯器把以下的魂結斷開
-----END CERTIFICATE----------BEGIN CERTIFICATE-----

魂結沒有斷開的話，會得到這個錯誤

[emerg] 20131#0: PEM_read_bio_X509_AUX("/etc/nginx/ssl/crazyall.net.crt") failed (SSL: error:0906D066:PEM routines:PEM_read_bio:bad end line)

以小蛙的 nginx 為例，為了不要放檔案太亂，小蛙另外建了 ssl 資料夾，該目錄為 /etc/nginx/ssl/，並且將 bundle.crt 更名為 crazyall.net.crt，private.key 也更名為 crazyall.net.key，如此一來如果有多個網域搭配多個 SSL 會比較方便管理，完成後將 crazyall.net.crt 及 crazyall.net.key 複製到 /etc/nginx/ssl/ 資料夾中。

將 SSL 加入 nginx

這裡記錄給自己看，預設的 nginx 檔案會包含一小段搭配載入 php5-fpm 的部份，例如：

location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
		fastcgi_pass 127.0.0.1:9000;
		fastcgi_read_timeout 120;
		fastcgi_index index.php;
		include fastcgi_params;
}

如果只有一個網域或一個站，直接這樣就好，但是像小蛙有 crazyall.net 以及 wazai.net 兩個，這一段就會重複，這時候可以把上面的內容獨立成 php.conf 並放在 /etc/nginx/ 資料夾下，接著從 /etc/nginx/sites-avaibale/wazai.net 設定檔中 include php.conf; 就可以了。

wazai.net 的設定部份如下

server {
		listen 443 ssl default_server;	 	 
		listen [::]:443 ssl default_server;
		server_name wazai.net;
		ssl_certificate /etc/nginx/ssl/wazai.net.crt;	 	 
		ssl_certificate_key /etc/nginx/ssl/wazai.net.key;	 	 
		... 以下省略 ...	 	 
}

這裡如果把 crazyall.net 使用一樣的設定就會得到下列錯誤

[emerg] 20005#0: a duplicate default server for 0.0.0.0:443 in /etc/nginx/sites-enabled/wazai.net:58

因此如果同一台主機上有不只一個網域要使用 SSL，就要改成下面這樣，加了 default_server 就直接錯給你看

server {
		listen 443 ssl;
		server_name crazyall.net;
		ssl_certificate /etc/nginx/ssl/crazyall.net.crt;
		ssl_certificate_key /etc/nginx/ssl/crazyall.net.key;
		root /your_www_document;
		index index.php index.html index.htm;
		... 以下省略 ...
}

經過這些修改 service nginx reload 就可以正常執行囉！試試看 https://your_domain/，如果是用 WordPress 架站的話，還會有很多很多很多問題需要克服，使用 Chrome 的 consloe 可以看到滿山滿谷的

而且網站打開來之後慘不忍睹， 這也是小蛙為什麼當初卻步的原因，下一篇根據 google 來的資料一一修正這些問題。

參考資料

• Nginx SSL Certificate Installation

網站架設系列文章：

• 盤點那些曾經陪伴過小蛙的 VPS 虛擬主機
• 如何挑選 VPS + 最划算的買法
• 手把手教你如何購買 VPS
• 第一次買 KVM 虛擬主機
• 血的教訓 – HiFormance 跑路了 …
• 為自己申請一個域名 – HiNet 為例
• Cloudflare – 超強大的免費 CDN (?)
• 使用 Cloudflare 代管你的域名
• Ubuntu 16.04 設定環境語言編碼，讓中文可以正常顯示
• Ubuntu 16.04 安裝 fail2ban
• 一個腳本每天自動備份
• Linux tar 完整備份、增量備份及差異備份比較
• nginx + SSL Certificate – 讓 http 變身成為 https
• SSL For Free – 免費又有綠色鎖頭的 SSL Certificates
• Certbot 申請 SSL certificate 錯誤問題
• Certbot 錯誤：ACMEv1 is deprecated and you can …
• Ubuntu 18.04 安裝 AWStats 來統計網站流量
• PCHome 買網址續約流程

這篇文章 nginx + SSL Certificate – 讓 http 變身成為 https 最早出現於 記下來。

囉哩巴唆

Google 竟然把有 https 的網頁優先搜尋，看來加入 SSL 是勢在必行了，應該是因為跟 Google 自己後來想推的協定有關，不過看著 香腸炒魷魚、重灌狂人 … 等一些知名網站也都已經是 https 開頭的了，這個趨勢只能跟風了！來個維基百科解釋一下這到底是什麼碗糕：

傳輸層安全協議（英語：Transport Layer Security，縮寫：TLS），及其前身安全通訊協定（Secure Sockets Layer，縮寫：SSL）是一種安全協定，目的是為網際網路通訊，提供安全及資料完整性保障。from 傳輸層安全協議 – 維基百科
超文字傳輸安全協定（英語：Hypertext Transfer Protocol Secure，縮寫：HTTPS，也被稱為HTTP over TLS，HTTP over SSL或HTTP Secure）是一種網路安全傳輸協議。在計算機網路上，HTTPS經由超文字傳輸協定進行通訊，但利用SSL/TLS來對封包進行加密。HTTPS開發的主要目的，是提供對網路伺服器的身分認證，保護交換資料的隱私與完整性。 from 超文字傳輸安全協定 – 維基百科

好的，有看沒有懂或是覺得翻譯很奇怪，沒關係不重要，只要知道是對安全性有幫助的東西就好了！之前查了很多加入 SSL 的方法，以小蛙的智商實在是很難理解，也很佩服那些能做這些事情的人 >< 真正促使小蛙將蛙齋改成 https 是因為看到 SSL For Free 的使用方式真的很簡單，連小蛙這種系統白癡都可以順利完成，ㄟ … 好啦！在 nginx 設定上，還有一些觀念的理解上花了一些時間。

SSL For Free 申請

主要有幾個步驟：(過程可參考：SSL For Free 免費 SSL 憑證申請，使用 Let’s Encrypt 最簡單方法教學！)

• 在 SSL For Free 上註冊一個帳號。
• 在首頁輸入要申請的網域名稱。像小蛙要申請 crazyall.net 這個網域，系統會自動產生 www.crazyall.net 跟 crazyall.net 這兩個網域。
• 選擇「Manually Verify Domain」進行手動認證網域。
• 下載網頁給的兩個檔案，把它們放在你的網域目錄 /.well-known/acme-challenge/ 資料夾下，放好之後點選下面的連結，看看是不是能夠讀取到這兩個檔案，確定可以讀取之後才點選「Download SSL Certificate」，不然如果驗證失敗，系統會產生另外的兩個檔案，然後要一直重複步驟 2 ~ 4。
• 點選「Download All SSL Certificate Files」下載所有檔案並保存好。

到這邊就完成囉！nginx 設定部份請參考 nginx + SSL Certificate – 讓 http 變身成為 https。

參考資料

• SSL For Free
• SEO優化：Google 調整SEO演算法，優先搜尋HTTPS網頁
• SSL For Free – 免費又有綠色鎖頭的 SSL Certificates

網站架設系列文章：

• 盤點那些曾經陪伴過小蛙的 VPS 虛擬主機
• 如何挑選 VPS + 最划算的買法
• 手把手教你如何購買 VPS
• 第一次買 KVM 虛擬主機
• 血的教訓 – HiFormance 跑路了 …
• 為自己申請一個域名 – HiNet 為例
• Cloudflare – 超強大的免費 CDN (?)
• 使用 Cloudflare 代管你的域名
• Ubuntu 16.04 設定環境語言編碼，讓中文可以正常顯示
• Ubuntu 16.04 安裝 fail2ban
• 一個腳本每天自動備份
• Linux tar 完整備份、增量備份及差異備份比較
• nginx + SSL Certificate – 讓 http 變身成為 https
• SSL For Free – 免費又有綠色鎖頭的 SSL Certificates
• Certbot 申請 SSL certificate 錯誤問題
• Certbot 錯誤：ACMEv1 is deprecated and you can …
• Ubuntu 18.04 安裝 AWStats 來統計網站流量
• PCHome 買網址續約流程

這篇文章 SSL For Free – 免費又有綠色鎖頭的 SSL Certificates 最早出現於 記下來。