仲佑的網誌

學會架網站也很多年了，但是以前都只跑 「http」。（當時也曾想過跑 https，不過因為不會設定，文件也看不懂，所以就擺著不管，反正日子也能過下去）

後來，因為機器過勞壞掉，停機停了約兩年，在今年重啟之時，心想～總得跟以前不一樣吧，總不能都不進步。（雖然真的沒什麼進步）

於是，就強迫自己的網站一定要跑 https 協定，就當作是前進一步的小小象徵吧！

而話說從頭，http  與 https 的差異在哪裡呢？

簡單講，差別在「加密傳輸」！（祕密話語術）

因為 網際網路 最初設計的關係，所有在網路上面跑的東西，任何人都可以看得到，擷取得到，就好像「學校的擴音廣播系統」，只要開始廣播（例如：教務處報告～，教務處報告～許xx老師，請快回教務處吃冰淇淋……），此時任何人都可以聽得到，這種設計很方便，但是～沒有隱私以及安全性可言。

但若有些事情不想讓其他不相關的人知道，而又得透過廣播系統傳遞的話，就只好加上代號（加密訊息）了。例如：教務處報告～，教務處報告～許xx老師，請「立馬手刀」回教務處…… ，這是代表趕快回來吃「冰淇淋」之意。

而此 代號（加密訊息）只有發出者與接收者知悉，就算別人聽到了，也不覺得有異。如此便可保障一定程度的隱私以及安全性。

同理延伸，http 的作業方式是將資訊直接在網路上傳遞。而 https 則是將資訊先加密再送出到網路上傳遞，目的也是為了保障一定程度的隱私以及安全性。

但因為網路上的機器與人太多，若大家都發展使用自己的 代號（加密訊息），反而會造成更多的紛爭與混亂，此時能有公平的機構出來為這些 代號（加密訊息）背書，便可以解決許多爭議問題。

所以，網站若要跑 https ，則需要兩個條件：「加密」與「憑證」（通常由公平機構發出，但得付費！）

搜尋與研究了一下網路文件，以我的程度而言，「【FreeBSD】Apache + SSL 憑證製作」這篇文章，我可以看得懂，於是我就依樣畫葫蘆了：

1. 「加密」部份，使用 openssl 工具程式，來達成便可。（$$ pkg install -y openssl ）

2. 「憑證」部份，有三種解法：
   • 花錢買憑證
     這個解法是最理想，但我卻是最不考慮，因為我不想花錢在這個地方，況且自己的網站，並沒有值錢到此地步。
     但是政府公家機關，我則非常希望可以編經費去購買憑證，以維「公信」。

   • 自己的憑證自己做，自己發!
     根據，「【FreeBSD】Apache + SSL 憑證製作」這篇文章，整理了一下：
     先修改一下 /etc/rc.conf
     
$$ vim /etc/rc.conf
## add apache24+SSL ##
apache24_enable="YES"
apache24_http_accept_enable="YES"
apache24_flags="-DSSL"
######################


      

     開始製作「憑證」
     
     $$ cd /etc/ssl
     $$ cp openssl.cnf openssl.cnf.org
     $$ mkdir certs crl newcerts private
     $$ echo "01" > serial
     $$ touch index.txt
     $$ openssl rand 2048 > ./private/.rand
     $$ chmod 600 ./private/.rand

     ###---openssl.conf 裡面這二行改一下-------####
     $$ vim openssl.conf ### 修改 openssl.conf
     dir = /etc/ssl
     default_days = 3650
     ###---------------------------------####

     ###簽發一張 RootCA，CA 的期限設為 20 年
     $$ openssl req -new -x509 -keyout private/cakey.pem -out cacert.pem -days 7305 -config openssl.cnf

     ##製作自己 Server 的憑證 （其實只是自己球員當裁判 :p)
     $$ openssl req -nodes -new -x509 -keyout yowlab_key.pem -out yowlab_req.pem -days 365 -config openssl.cnf

     $$ openssl x509 -x509toreq -in yowlab_req.pem -signkey yowlab_key.pem -out yowlab_tmp.pem

     $$ openssl ca -config openssl.cnf -policy policy_anything -out yowlab_cert.pem -infiles yowlab_tmp.pem

     ####移動與整理檔案
$$ mv cacert.pem ./certs/ca.crt
$$ mv yowlab_cert.pem ./certs/server.crt
$$ mv yowlab_key.pem ./private/server.key
$$ mv ./private/cakey.pem ./private/ca.key
$$ rm -f yowlab_myreq.pem yowlab_tmp.pem
$$ chmod -R 400 private


      

     修改設定「httpd.conf」
     
     #### 啟用 ssl 功能 ####
     LoadModule ssl_module libexec/apache24/mod_ssl.so
     LoadModule rewrite_module libexec/apache24/mod_rewrite.so

     Include etc/apache22/extra/httpd-ssl.conf
     ########################

     #### 強迫一律轉向 ssl (https) #####
     DocumentRoot "/usr/local/www/apache24/data"
     

     RewriteEngine on
     RewriteCond %{SERVER_PORT} !^443$
     RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R]

     
     ####################################

      

     修改設定「http-ssl.conf」
     
     
     # General setup for the virtual host
     DocumentRoot "/usr/local/www/apache24/data"
     ServerName yowlab.shps.kh.edu.tw:443
     ServerAdmin chungyu@mail.edu.tw
     ErrorLog "/var/log/httpd-error.log"
     TransferLog "/var/log/httpd-access.log"

     ## ChungYu add ######
     SSLCertificateFile "/etc/ssl/certs/server.crt"
     ######################

     ### ChungYu add ######
     SSLCertificateKeyFile "/etc/ssl/private/server.key"
     ######################

     ### ChungYu add ######
SSLCertificateChainFile "/etc/ssl/certs/ca.crt"
######################


      

   • 使用與找尋免費資源
     自己做憑證真的是「很威」沒錯。但是，「瀏覽器們」就是不認識你，每次連線還是會跳「警告」，看久了，心情還是不甚美麗。

     幸好，還是有些機構願意提供免費憑證服務，我則是參考了這篇文章：「SSL For Free 免費 SSL 憑證申請，使用 Let’s Encrypt 最簡單方法教學！」，到「 Let’s Encrypt 的數位憑證認證機構（CA）」去申請了免費憑證，設定好之後，連線時瀏覽器就再也不會跳「警告」訊息了。

     若是要使用免費憑證，就要修改 /etc/rc.conf, /usr/local/etc/apache24/httpd.conf, /usr/local/etc/apache24/extra/httpd-ssl.conf, 三個檔案，其實是滿簡單的。