免费SSL证书: Let’s Encrypt 证书申请 + HTTPS加密教程【LAMP/Apache配置】

坦白说，我是不愿意给博客启用HTTPS（SSL）访问的。至少，现在不愿意。

为什么这样讲？

博客于2016年11月份正式上线，到今天（2018-01-22）已差不多满15个月了。

在这15个月里，本博客仅仅更新了一篇文章，记录了我当初是如何一步一步在VPS上安装WordPress建站的。

承蒙诸位看得起，时常有留言交流。针对其他博主建站时出现的问题，凡力所能及的我都尽力回答，并筛选后贴在文章内作为补充和更新。

自认为文章还算靠谱，慢慢地从Google和Baidu上来了流量。按 Google Analytics 一月内的统计，流量平均约100IP/天。

是的。每天仅仅只有100个左右的访客。

太少了。不是吗？

也许等博客有了10篇、50篇、100篇甚至更多文章，流量到了1000IP/天、5000IP/天、10000IP/天甚至更多的时候，自己才可以名正言顺地自称为“博主”。

对我来说，当务之急是如何拓展更多的内容、获取更多的流量，其他诸多锦上添花甚至可有可无的事情（比如启用HTTPS）都是微不足道的。

Google不会因为你安装个SSL证书（甚至免费的）、启用个HTTPS就让你的网站出类拔萃，尽管HTTPS也是几百种（博主猜测）影响SEO排名因素的一种。

Content Is King ..

所以，不以生产优质内容为目的的SEO都是耍流氓。

更何况，就本站这么个小博客，有什么高价值的数据需要加密访问呢？银行吗？网店吗？

因此，个人博客启用HTTPS访问的确有用，但至少现阶段不是必需品。

但是，我最终还是给博客启用了HTTPS。

原因主要有以下三点：

我喜欢折腾

对于新兴的事物特别感兴趣，喜欢尝试和体验，并一直乐此不疲。这也是这篇文章产生的主要原因。

HTTPS是趋势

Google明确表示HTTPS对网站排名有帮助，且SSL证书的安装越来越方便。既然以后也要开启，为何不趁着现在流量少时折腾好呢，同时还可以观察并验证开启HTTPS对博客有哪些具体的影响。

他人的建议

多位网友留言交流关于SSL证书安装的问题，并建议博主折腾一下出个教程。

实际上，我非常庆幸自己这几天的折腾，的确收获颇丰。其中最重要的一点就是直观的验证了SSL/HTTPS对关键词排名的提升效果（见下图）。

（每次折腾前，我习惯先做好VPS快照备份，然后截图，留作和折腾后对比。我觉得这是个不错的习惯，也建议你这样做。）

2018-01-16上午09:12时，某关键词排在第三位（启用HTTPS访问前）：

2018-01-16中午12:16时，该关键词排在第二位（启用HTTPS访问后）：

从图中可以看出，启用SSL之后，仅仅三个小时内Google关键词排名就发生了变化：

从第三升至第二位！

诚然，这也可能属于关键词排名的正常波动，但在我看来，至少印证了一点：

Google倾向于给予HTTPS网址更多的权重。

事实上，Google在很早之前的一份官方博文中也提到过这一点：

所以，如果你打算长期的、正规的建站/写博客的话，我的建议是：请尽量安装SSL证书，以开启HTTPS访问。

接下来，博主就分享一下我是如何在LAMP环境中（LNMP1.3/1.4一键安装）一步步安装Let’s Encrypt免费SSL证书的。

再次提醒：建议在进行以下操作前做好快照备份（SnapShot），以防不测。同时，由于安装Let’s Encrypt免费SSL证书需要验证域名，故务必确保域名解析成功。

#1 LNMP1.3如何升级到LNMP1.4

#2 安装免费的SSL证书（Let’s Encrypt）

Let’s Encrypt 是由 ISRG（Internet Security Research Group，互联网安全研究小组）提供的免费数字证书认证机构，旨在提供免费的SSL/TLS证书。

其参与者目前主要包括电子前哨基金会、Mozilla基金会、Akamai、思科以及Linux基金会等，这些大牌组织的加入保证了这个项目的可信度和可持续性。

所以，如果我们需要免费的SSL证书，Let’s Encrypt则无疑是最佳之选。

#3 防火墙开启443端口

#4 HTTPS替换掉HTTP链接

细心的你可能发现了：网址前面的小锁为啥不是期待中的绿色呢？

这是因为，页面上存在该域名下的非 https 链接。也就是说，文章内有些图片、CSS和JS等文件仍然是以 http 链接样式存在的。

因此，我们要将其全部改成 https 样式。

进入 phpMyAdmin 管理后台，选择目标数据库，在 SQL 里跑一下如下语句（别忘了把 seoimo.com 换成你自己的域名）：

UPDATE wp_options SET option_value = replace( option_value, 'http://www.seoimo.com', 'https://www.seoimo.com' );
UPDATE wp_posts SET post_content = replace( post_content, 'http://www.seoimo.com/wp-content', 'https://www.seoimo.com/wp-content' );

如果安装了静态缓存（如 WP-Super-Cache ）和 Memcached 插件（比如 MemcacheD Is Your Friend ），建议再清空下缓存。

接下来，刷新网页，期待中的小绿锁终于出现了。

至此，HTTPS才算是真正启用了。

但是，革命仍尚未成功，接下来还有几点重要设置，建议一并修改。

#5 添加 SSLCertificateChainFile 并开启 HSTS

走完了上面的步骤，当我们使用某些网站（如SSLLabs - SSLTest）检测博客 https 网址健康情况时，你可能会发现存在 “Chain issues”，而整体得分往往只有B。

什么意思？

简单点说，就是你的证书有问题，某些浏览器下会提示错误/证书有风险，网站不安全。

所以，LAMP/Apache环境下，还需要添加中间证书/完善证书链，并开启强制HTTPS访问。（LNMP最新版本已修正证书链）

编辑网站的 Apache 配置文件，仍以本站（seoimo.com）为例：

# vi /usr/local/apache/conf/vhost/seoimo.com.conf

在 VirtualHost *:443 内添加 SSLCertificateChainFile 指向以及 HSTS （HTTP Strict Transport Security）命令：

保存之后，重启Apache：

# lnmp httpd restart

这时，再去检测HTTPS健康状况，一般就可以得到A或者A+了。

温馨提示：

① 禁用 TLS 1.0 和 TLS 1.1

倘若提示 “This server supports TLS 1.0 and TLS 1.1. Grade will be capped to B from January 2020.”，则可选禁用 TLS 1.0 和 TLS 1.1 即可：

找到 SSLProtocol all -SSLv2 -SSLv3 该行，行末添加 -TLSv1 -TLSv1.1，即 SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 ，然后，重启一下lnnp：

② 配置 HSTS （HTTP Strict Transport Security）（可选）

上文提到的配置 HSTS 部分，考虑到虚拟主机可能没有修改 .conf 的权限，可选择将 Header always set .. 该行添加到网站根目录下的 .htaccess 文件内：

#6 关闭 SNI（Server Name Indication）（可选）

Server Name Indication（服务器名称指示）是用来改善 SSL（Secure Socket Layer）和 TLS（Transport Layer Security）的一项特性，它允许客户端在服务器端向其发送证书之前请求服务器的域名。

在以前，只有独立 IP 的虚拟主机或 VPS 才能开启 SSL/TLS 连接服务。也就是说，一个 IP 只能对应一个 HTTPS 访问。因此，同一个 IP 下搭建多个 HTTPS 网站是不行的。

但现在可以了。

使用 LNMP 最新版安装包编译的 Apache 2.2 已自带 SNI 拓展，默认是打开的。同 IP 下搭建多个网站时，只要按操作绑定域名并启用 HTTPS 就可以，不需要额外设置。

然而，在启用之后，你可能遇到下面这种情况：没有权限，访问禁止！

这是因为，某些奇葩的浏览器不支持 SNI 技术，比如上图所示的 IE 8 以及在 WinXP 系统下所有的 IE 浏览器。

尽管 XP 系统已经退出历史舞台了，但在国内还是有一定的市场。

倘若你选择无视之，下面这步可以略过了；但如果你不打算失去这部分访客，还是得照顾一下他们。

方法比较简单：关闭 SSLStrictSNIVHostCheck ：

# vi /usr/local/apache/conf/extra/httpd-ssl.conf

将默认的 SSLStrictSNIVHostCheck on 改成 off ，如下所示：

SSLStrictSNIVHostCheck off

保存，退出。然后重启 Apache 即可：

# lnmp httpd restart

再次访问就不会出现上图中的问题了。

但是，如果你是同一个 IP 下搭建了多个网站，即便关闭了 SSLStrictSNIVHostCheck ，XP 系统下访问HTTPS可能还会出问题。比如：

出现这种情况有两个解决办法：①换用除 IE 以外的浏览器，比如谷歌Chrome和360极速浏览器；②换个系统吧兄弟，XP 真的太古老了。

#7 定时更新SSL证书

使用 LNMP 安装 Let's Encrypt - SSL 证书，会自动添加定时更新证书的指令。

查看指令：

# crontab -l

正常情况下，显示如下信息（LNMP1.6）：

或者（LNMP1.5）：

通常，保持默认即可。

但是，免费证书有效期90天，每天都检测升级一次，博主感觉有点太频繁。可以改为15天甚至一个月检测一次：

# crontab -e

更改为以下设置：

保存，重启 crond ：

# service crond restart

然后，设置开机启动：

# chkconfig crond on

这样，每15天的凌晨，程序会自动检测证书是否需要更新；如果不需要，则直接跳过。

当然，你也可以随时强制性手动更新（注意：限制每周5次）。

强制更新Let's Encrypt证书：

# "/usr/local/acme.sh"/acme.sh --force --cron --home "/usr/local/acme.sh" > /dev/null

出现 Congratulations, all renewals succeeded. 字样时，表示证书更新完成。

#8 HTTP全部301重定向到HTTPS

编辑网站根目录下的 .htaccess 文件，在顶部添加如下代码：

# BEGIN Rewrite
RewriteEngine On
RewriteCond %{HTTP_HOST} ^seoimo.com [NC]
RewriteRule ^(.*)$ https://www.seoimo.com/$1 [R=301,L]
# END Rewrite

保存之后，上传覆盖即可。

倘若访问提示“重定向次数过多”，也可设置仅跳转端口试试：

# BEGIN Rewrite
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.seoimo.com/$1 [R=301,L]
# END Rewrite

#9 HTTPS对网站打开速度的影响

通常认为，启用HTTPS访问会额外增加网页打开时间，同时也会占用VPS资源。

但是，具体影响有多大呢？

经过博主测试（Pingdom & PageSpeed Insights），启用HTTPS访问对网页打开时间的影响几乎可以忽略不记（详见下图）。

（测试地点选择洛杉矶，尽量靠近博客主机所在机房，以减少线路问题造成的干扰。）

开启HTTPS访问前后，Google PageSpeed Insights 测试结果：

开启HTTPS访问前后，Pingdom 测试结果（整体数据）：

开启HTTPS访问前后，Pingdom 测试结果（请求耗时）：

从上图可以看出，本站启用HTTPS访问后，SSL耗时只有几十毫秒。页面打开耗时虽有所增加，但增加的非常有限，甚至可以忽略不计。

当然，本次测试仅仅只是验证SSL对本站访问速度造成的影响，并不意味着你开启HTTPS访问后网站打开速度和上图一样。

网站打开速度更多是由VPS性能（比如 CPU 、带宽和 I/O读写）、线路、域名DNS解析、站内优化以及本地网速等多种原因造成的，有些因素可以通过优化调整改善，有些我们却很难左右。

博主的建议是：在做好站内优化的同时，尽可能选择性能更好的VPS/服务器/虚拟主机。比如本站目前用的 Hostwinds（月付$4.99，1GB内存，美西机房）。