React China 使用 Discourse 搭建在 Digital Ocean 上,
原先认为 HTTPS 步骤繁琐而且花钱没有考虑过加上 HTTPS.
不过 fracer 同学很想要, 而且提示了 Cloudflare 的方案, 于是打算看下.
现在访问 https://react-china.org/ 已经能看到 HTTPS 绿色小锁的提示了
关于 Cloudflare
而且之前 Cloudflare 也有沸沸扬扬的提供免费 SSL 证书的消息, 留意过
官方博客: http://blog.cloudflare.com/introducing-universal-ssl/
V2EX 上的讨论: http://www.v2ex.com/t/136523
微博搜索结果: http://s.weibo.com/weibo/cloudflare%2520https?topnav=1&wvr=6&b=1
大致是提供免费的证书之后, 全网都可以享受其免费的 HTTPS 服务了, 具体看后边
我从前没有用过 Cloudflare, 尝试配置了一下, 粗看大概有这些功能:
* 解析 DNS, 可以将 DNSPOD 上的域名记录转到这边来, 这需要修改 nameserver
* 对资源进行缓存, 请求会命中 Cloudflare 的 CDN. 配置里有开发模式可以临时关闭缓存
* 防御攻击. 因为请求会先经过 Cloudflare 的服务器, 这一步在代理中完成了
* 统计访问量. Clouldflare 可能会在页面中注入代码, 用于完成类似功能
刚开始给我的感觉, 就是这服务很巧妙把好多种类服务集合在一起提供了很好网站服务
粗略的配置过程
免费 SSL 证书的意思大概是这样的, 使用 Cloudflare 的 CDN 服务可以免费开启 HTTPS,
用户访问网站时, 会先访问 Cloudflare 的服务器, Cloudflare 代为访问目标服务器
这就跟我们用 Nginx 在服务端做的反向代理是类似的,
而反向代理和目标服务器之间的请求是不进行加密的, 而用户跟代理服务器之间存在 SSL 加密
在 Cloudflare 这里, SSL 默认完成, 我们甚至不用去自己生成和处理 .key
.crt
文件了
Cloudflare 的图形界面上配置较多, 但我也不方便截图一个个讲,
考虑到一些细节并不是非常清晰, 我只是描述一下梗概:
* 注册 Cloudflare, 添加需要应用 Cloudflare CDN 的网站域名
* SSL 的设置选择 Flexible SSL, 对应意思是"Cloudflare 服务器和访问者之间加密"
* 修改使用 Cloudflare 给定的 nameserver 进行 DNS 解析
* HTTPS 环境生效会有延时, 文档说可能会有一天多(不确定, 需要留意..)
关于 SSL 的选项建议看一下 Support 当中的说明:
https://support.cloudflare.com/hc/en-us/articles/200170416-What-do-the-SSL-options-Off-Flexible-SSL-Full-SSL-Full-SSL-Strict-mean-
遇到过的麻烦
一个是 nameserver 配置时, Cloudflare 的 nameserver 并不是固定的
我遇到过删除重新创建网站, 但是给的 nameserver 却变了
我们用了旧的 nameserver 所以一直提示检测 nameserver 没有修改成功
最后运行了 whois
才想起来两边的 nameserver 对不上
配置好 HTTPS 以后遇到过有个 521 错误, 大致意思是服务器访问不到
我们遇到问题时我这边也没弄清楚...
首先是要确认下 CDN 和 SSL 的配置, 必要时候尝试清除下已有的 cache..
关于 HTTPS 生效的时间, 我在个人网站上了也尝试了下
估计时间不到一小时, 跟文档上说的 24 小时平均时间相比很短了
但这也是个未知数, 需要更多情况确认.
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。