Fikker首页 -> 帮助系统 -> 如何开启 SSL/TLS/HTTPS 安全加密

1、说明:  

主机管理中设置网站域名对应的 SSL 数字证书(CRT/CER)和证书私钥(KEY)。



HTTP:仅支持 HTTP 访问。
HTTPS:仅支持 HTTPS 访问,如果用户以 HTTP 访问时则自动跳转(301)到 HTTPS 下面(3.7.8及以上版本支持),必须设置 SSL/TLS 证书内容和 SSL/TLS 私钥内容,兼容 Nginx 证书类型。
HTTP+HTTPS:同时支持 HTTP 和 HTTPS 访问,必须设置 SSL 证书内容和 SSL 私钥内容,兼容 Nginx 证书类型。
SSL 证书文件内容:一般以 -----BEGIN CERTIFICATE----- 作为开头,标准的 crt/cer/pem 证书/证书链的文件内容(用“记事本”打开并拷贝过去)。
SSL 私钥文件内容:一般以 -----BEGIN RSA PRIVATE KEY----- 作为开头,标准的 key/pem 私钥文件内容(用“记事本”打开并拷贝过去)。
SSL 附加配置参数:SessionSize 为 SSL 连接会话缓存的最大数量(默认 5000 个),Password 为 SSL/TLS 私钥加密口令(默认无需设置)。

2、常问问题 - 源站要不要部署SSL证书?  

在实际应用情况下,大部分采用【用户(https) -> Fikker -> (http)源站】模式部署,
仅在节点上部署SSL证书,源站不再部署SSL证书,可减少取源的延迟。源站设置例子如下:

3、常问问题 - 如何从 HTTP 跳转/重定向到 HTTPS?  

举例:从 http(s)://fikker.com 下面跳转到 https://www.fikker.com 下面,利用【转向管理】功能实现。
a、访问地址URL:^fikker\.com/(.*)$
b、转向地址URL:https://www.fikker.com/$1
c、转向逻辑:Return (注:利用 301/302 状态在浏览器中实现重定向)

举例:从 http://www.fikker.com 下面跳转到 https://www.fikker.com 下面。
利用【主机管理】也可以实现,下图中SSL选项直接设置成HTTPS即可,会自动从HTTP跳转到HTTPS。

4、常问问题 - 启用 HTTPS 会不会比 HTTP 慢?  

HTTPS 比 HTTP 连接建立起来要慢一些,因为 HTTPS 除了 TCP 握手,还需要 SSL 握手,并且握手时会交换证书和生成 SESSION 等计算,所以会慢一些,在握手阶段占用的 CPU 也较多。但是握手完成后, 进行文件传输时,例如下载文件的速度上,差别不大,而且一旦握手成功后 CPU 消耗就小多了。

5、常问问题 - 启用 HTTPS 会不会比 HTTP 占用的内存多一点?   

是的。在 Fikker 中,单个 HTTPS 连接要比 HTTP 连接要多占用大约 36KB 的内存,默认配置情况下,每个 HTTPS 域名,还需要 5000 个会话缓存空间,即每个 HTTPS 域名比 HTTP 要多占用内存为 16MB 的空间。所以在面向大并发时
或 HTTPS 域名较多时,在内存上尽量要保证。

6、常问问题 - 有的浏览器可以访问HTTPS,有的浏览器不可以访问HTTPS?

a. 遇到类似问题,一般浏览器会有英文/中文提示,根据提示操作即可。
b. 大部分情况是证书链不完整造成的,部分浏览器缺少对此类型证书链的完整支持。

解决的办法有
a. 自己补足证书链,追加中间证书到域名证书CRT文件中,合并成一个CRT文件,然后再进行设置。此处可以百度一下
b. 找确保所有浏览器都支持的SSL证书。:=)