3 年9.9元升级到HTTPS，值了！

上一次，我们完成域名解析后，发现浏览器地址栏里的域名被提示为不安全，就是因为它还是个宝宝，没有升级为 HTTPS 证书。

那怎么升级为 HTTPS 证书呢？可以直接通过阿里云购买 SSL 证书，但特么巨贵！

本来想尝试一下 AWS 的免费 SSL 证书，但卡到验证码这一步就是收不到信息。

索性就还用 FreeSSL 吧。

FreeSSL.cn 是一个提供免费HTTPS证书申请的网站，网址如下：

https://freessl.cn

输入域名 tobebetterjavaer.com 选择 trustAsia 品牌证书，点击「创建」，这次我选择的是三年期自动化（刚好我的服务器申请的是三年，域名也是三年），9.9 元，还是非常良心的。

微信/支付宝支付完成后会跳到证书的订单列表。

选择「更多操作」里的订单详情，会跳转到 CertCloud 页的管理订单。

点击「提交 CSR」后点击「提交」。

接下来就到了域名验证环节，点击「获取验证信息」。

切换到域名解析设置页，准备添加记录。

按照 CertCloud 提供的域名验证信息，添加记录。

添加完成后切换到 CertCloud，点击「域名验证」。

image.png

如果不确定上一步的记录是否添加成功，可以点击「诊断」按钮进行测试，如果没有问题会提示匹配成功的信息。

之后，点击「我已完成配置，检测一下」，如果没有问题，会先提示等待 CA 颁发证书，之后再次检测会提示「证书已签发，请刷新页面查看」。

好的，直接刷新页面，可以看到订单状态已经变成「已签发」的状态。

点击证书操作中的「下载证书」，选择适用于 Nginx 的 PEM 格式证书，点击下载。

使用 Tabby 终端的「SFTP」将证书上传到网站的云服务器。

打开宝塔面板，准备配置 Nginx 的 SSL 证书。将以下信息复制到 Nginx 的配置文件中，保存后重新加载配置。

# HTTPS server

server {
    listen       443 ssl;
    server_name  localhost;

    ssl_certificate      /home/cert/nginx/tobebetterjavaer.com_cert_chain.pem;
    ssl_certificate_key  /home/cert/nginx/tobebetterjavaer.com_key.key;

    ssl_session_cache    shared:SSL:1m;
    ssl_session_timeout  5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        root   /home/www;
        index  index.html index.htm;
    }
}

记得在宝塔面板和云服务器后台放行 443 端口。

在地址栏访问 https://tobebetterjavaer.com 就可以看到我们的域名已经升级为 HTTPS 了（安全锁的小图标也显示出来了）。

这时候，如果我们访问 80 端口的 http，仍然是可以的。只不过仍然会显示一个不安全的提示。

此时，我们需要将 HTTP 重定向到 HTTPS。

server {
    listen       80;
    server_name  tobebetterjavaer.com www.tobebetterjavaer.com;
    return 301 https://$server_name$request_uri;
}

注释掉原来的 80 端口监听，改为 return 跳转。

再次刷新原来的 HTTP 访问链接，可以看到已经跳转到 HTTPS 了，如果你查看地址栏的话，也会看到地址变成了 https://tobebetterjavaer.com。