一、引言
在开发《目的地到了》的过程中,微信必须使用域名访问,网络请求必须使用Https,域名还要在页面配一下合法。
二、分析
那么这就引出来很多其他工作了,大的方向可分为域名、Https部署、ssl证书、小程序页面配置。还有很多备案之类的细节工作。
技术上还需要考虑的是解析转发问题,请求通过域名dns解析到服务器之后,https 的解析无非两种做法:springboot部署或者nginx解析转发,
1、springboot与Nginx解析https选型
先看看springboot部署大致需要做什么:
1.1、证书文件放置在应用程序的classpath下,配置SSL证书:
server.ssl.key-store=classpath:**
server.ssl.key-store-password=**
server.ssl.key-store-type=**
server.ssl.key-alias=**1.2、配置HTTPS连接:
server.port=443
server.ssl.enabled=true
这里的`443`是HTTPS连接的端口号,`true`表示启用HTTPS连接。1.3、配置HTTP重定向:
@Configuration
public class WebConfig implements WebMvcConfigurer {
@Override
public void addViewControllers(ViewControllerRegistry registry) {
registry.addRedirectViewController("/", "/index.html");
}
@Bean
public TomcatServletWebServerFactory servletContainer() {
TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory() {
@Override
protected void postProcessContext(Context context) {
SecurityConstraint securityConstraint = new SecurityConstraint();
securityConstraint.setUserConstraint("CONFIDENTIAL");
SecurityCollection collection = new SecurityCollection();
collection.addPattern("/*");
securityConstraint.addCollection(collection);
context.addConstraint(securityConstraint);
}
};
tomcat.addAdditionalTomcatConnectors(httpConnector());
return tomcat;
}
@Bean
public Connector httpConnector() {
Connector connector = new Connector(TomcatServletWebServerFactory.DEFAULT_PROTOCOL);
connector.setScheme("http");
connector.setPort(80);
connector.setSecure(false);
connector.setRedirectPort(443);
return connector;
}
}
2、nginx需要做什么呢
2.1、配置SSL证书:
将SSL证书配置到Nginx服务器上。
将证书文件(包括公钥和私钥)上传到服务器上的指定目录,
例如`/etc/nginx/ssl`。
2.2、配置Nginx虚拟主机:
打开Nginx配置文件
(通常是`nginx.conf`或`/etc/nginx/nginx.conf`),
找到要配置SSL的虚拟主机部分。在该部分中,添加以下配置:
server {
listen 443 ssl;
server_name **;
ssl_certificate /etc/nginx/ssl/**.crt;
ssl_certificate_key /etc/nginx/ssl/**.key;
location / {
# 配置您的应用程序代理
proxy_pass http://**;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}2.3、 配置HTTP重定向:
为了将HTTP请求重定向到HTTPS,
可以在Nginx配置文件中添加以下配置:
server {
listen 80;
server_name your_domain.com;
location / {
return 301 https://$host$request_uri;
}
}
看起来都有一些工作量,不过Nginx是现在做代理和负载均衡的主流方式,扩展性也高,所以作者还是选择nginx进行解析,后续可以进行各种技术方案的实践。
3、Nginx部署方案
既然选定了Nginx,那还要考虑一下部署方案,正常是单独一个服务器部署网关,然后解析转发到其他服务器,很明显,作者没钱。那就只能在同一个服务器上部署了。
在同一个腾讯云服务器上部署又要考虑一下了,到底是直接部署服务器,还是建一个docker容器再把nginx部署进去。
linux做起来挺简单的,大致这么搞一下
3.1、安装Nginx:
sudo yum install nginx3.2、启动Nginx:
sudo systemctl start nginx3.3、配置Nginx:
默认情况下,Nginx的配置文件位于`/etc/nginx/nginx.conf`。
按照之前的说法再改改配置。
docker还要考虑文件在服务器和容器里面的映射关系,毕竟容器里面的文件会随着容器的停止而销毁。不考虑的话也很简单。
3.4、获取Nginx镜像:
docker pull nginx3.5、创建并运行Nginx容器:
docker run -d -p 80:80 --name my-nginx nginx
考虑到隔离性和扩展性,不影响其他容器的内存使用,作者选择在容器里面部署。
三、域名
域名申请哪家的都可以,但是作者之前都用的腾讯云,同一家肯定提供很多便利,很多调试兼容可以省掉。所以作者还是选择腾讯云。
1、注册
在域名注册购买_域名注册选购 - 腾讯云,搜索自己想要的域名就可以下单购买了,很多10块一年的买了玩也无所谓。什么都能搜,有的可能被别人占了。
2、ssl证书
这个是当时有点疑惑的,作者习惯先调查搜集信息再实地察看,最后动手实践。但是网上搜集到的信息一般是说ssl有免费的也有收费的,dns解析也是,让人有点摸不着头脑。
直接搜一下,其实是有收费也有免费的。
对于SSL证书,有些提供商提供免费的SSL证书,例如Let's Encrypt,这些证书可以用于在网站上启用HTTPS协议,从而提供更安全的通信。但是,这些免费证书可能存在一些限制,例如有效期较短、不支持所有浏览器等。收费的SSL证书通常由专业的CA(证书颁发机构)提供,它们提供更广泛的浏览器兼容性、更长的有效期和更高的安全性等特性。
而对于DNS服务,也有一些提供商提供免费的DNS服务,例如Cloudflare、Google等,有基本的DNS解析功能。但是,这些免费服务可能存在一些限制,例如不支持高级功能、不提供人工支持等。收费的DNS服务通常由专业的DNS提供商提供,提供更广泛的功能、更高的性能和更好的支持等特性。
腾讯云申请域名之后自带dns解析,这个不用管。
但是ssl证书还是要申请的。登录 - 腾讯云,ECC性能好、资源消耗少,但是很多老环境不支持,RSA有广泛的兼容性和经过验证的安全性,所以作者选择ECC,会单独在云环境搞这些的基本上没什么体量,安全相关不是最主要的,毕竟不是百万流量黑客都懒得逆向解析你的网站。反而消耗资源是小户比较关注的。
申请完成之后要下载,选择格式,适配各种部署方式
nginx下载之后有四个文件:
1. 证书文件(Certificate File):通常以 `.crt` 或 `.pem` 扩展名结尾。这个文件包含了公钥证书,用于验证服务器的身份。证书文件是由证书颁发机构(CA)签发的,其中包含了服务器的公钥、域名信息以及CA的数字签名。
2. 私钥文件(Private Key File):通常以 `.key` 或 `.pem` 扩展名结尾。这个文件包含了服务器的私钥,用于对传输的数据进行加密和解密。私钥文件必须保密,不应该被泄露给其他人。
3. 中间证书文件(Intermediate Certificate File):通常以 `.crt` 或 `.pem` 扩展名结尾。这个文件包含了证书链中的中间证书,用于构建完整的证书链。证书链是由根证书颁发机构(Root CA)签发的中间证书和服务器证书的序列。
4. 根证书文件(Root Certificate File):通常以 `.crt` 或 `.pem` 扩展名结尾。这个文件包含了根证书颁发机构的根证书。根证书用于验证中间证书的可信性,构成了证书链的最顶层。
四、Nginx部署1、创建nginx容器
创建个镜像,只是用于生成环境需要的文件
docker run --name nginx -p 80:80 -d nginx
2、docker cp把容器的文件拉到服务器本地目录下面
**是指服务器的文件目录,比如创建文件夹 /etc/nginx/ssl之后就可以cp到这里
docker cp nginx:/etc/nginx/nginx.conf **
docker cp nginx:/etc/nginx/conf.d **
docker cp nginx:/usr/share/nginx/html **
3、用完就删
docker rm -f nginx
4、证书上传nginx目录
这个没什么好说的,传到/etc/nginx/ssl下面去
5、改nginx配置
这里是重点,端口映射、ssl证书位置、域名转向的目标位置,都是在这里配置
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log notice;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
include /etc/nginx/mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
#tcp_nopush on;
keepalive_timeout 65;
#gzip on;
include /etc/nginx/conf.d/*.conf;
server {
listen 80;
#填写绑定证书的域名
server_name www.**.cloud;
#把http的域名请求转成https,相当于用户访问http也可以自动跳转到https,避免出现网页提示不安全
return 301 https://$host$request_uri;
}
server {
listen 443 ssl;
server_name www.**.cloud;
#证书文件名称
ssl_certificate_key /etc/nginx/ssl/**.cloud.key;
#私钥文件名称 .crt和.pem都可以用
ssl_certificate /etc/nginx/ssl/**.cloud_bundle.pem;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
root /usr/local/nginx/html;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
#首页
location / {
proxy_pass http://**;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
}
6、启动
docker run -d \
-p 80:80 \
-p 443:443 \
--name nginx \
--restart=always \
--network-alias nginx \
-v **:/etc/nginx/nginx.conf \
-v **:/etc/nginx/conf.d \
-v **:/var/log/nginx \
-v **:/usr/share/nginx/html \
-v **:/etc/nginx/cert \
nginx
五、域名备案
部署完了作者还想直接跑起来的,于是在测试环境调试了一下,通的,但是一到体验版就不行了。必须在小程序页面配置合法域名,但是配置又会提醒备案。
这里还有个注意点,如果使用了一些第三方或者腾讯自身的组件api,也要把域名配进去,比如作者使用了腾讯地图的api,需要配置
备案有几个点比较麻烦:
1、视频验身
有两个,一个要拿着承诺书拍,一个要在注册地拍,注册地我选的是户口所在地,选工作地方应该也没关系
2、 要把解析暂时停掉DNS
云解析 DNS 暂停或启用解析记录-操作指南-文档中心-腾讯云
等到备案结束就可以开始使用了吗?天真
还要进行公安备案ICP 备案 公安备案流程-备案后续流程-文档中心-腾讯云,不过30天之内就可以。
然后在自己的微信小程序设置合法域名
六、总结
现在各种复杂的环境、工具,但是原理都是相同的,看起来简单的域名、备案、解析转发涉及到的经验和技术问题也不少。最重要的就是思考分析,不然很多同学遇到问题就会头疼不知道下面该做什么该看什么。