（The Continued Rising Power of Developers）

使用HTTPS，让网站更安全

PS：经过两周的学习和部署迁移，目前已经把所有后端都迁到了基于Docker的Jenkins里了，相关文章可以参考《使用Jenkins来发布和代理.NetCore项目》，当然我也在纠结要不要也把vue的前端项目也迁过来，这样每次只需要动动手就可以实现持续集成和持续部署了，如果你想了解如何vue项目构建镜像，看我的这个《Docker 部署VUE项目》

今天就用mvp项目做例子，虽然是BlazorServer的项目，但是本质上还是MVC项目，所以如果你的项目是MVP的，同理可得。

不知道docker和Jenkins的相关内容，你学会了么？

1、两种方案来加锁

现在网站基本上已经普及了HTTPS化，虽然不能拦截所有，不过通过简单的配置也能起到很大的作用，所以，HTTPS模式一直也是被大众所接受，我现在在线的10个项目中，主要是官网，认证中心做了安全协议的配置，关于如何进行安全配置，这里有两个方案：

1、普通模式：直接在代理服务器中，配置证书，做HTTPS代理，常见的就是在Nginx中处理，我的官网和认证中心都是这么处理的，而且也对Http做了跳转，访问域名，无论是HTTP还是HTTPS的，统一都是运行HTTPS安全协议下的，相应的Nginx配置也很简单，之前也写过文章《mvc项目加个锁》。

配置文件查看链接：

http://apk.neters.club/.doc/guide/function-sheet.htm

2、项目中配置：上边的方案虽然可以满足一定的需求，但是有一个问题，比如我们用HTTPS安全协议的MVC项目做客户端，去调用认证中心的时候（这里的ids4项目也是https安全协议的），MVC客户端是不能用第一种方案的，因为第一种方案本质上还是通过nginx路由强制跳转的。所以如果用第一种方案的话，我们发起认证的时候会报错，比如客户端无效或者参数不对。那这个时候我们就需要把我们的MVC客户端，直接配置HTTPS模式的，也就是在项目内部配置的，这个也是今天要说的重点。

那接下来咱们就说下，如何把项目用HTTPS模式启动。

2、项目中配置HTTPS模式

这个是很简单的，只需要简单配置下启动服务就行。

首先就是注册相应的服务，基本自己不需要怎么修改，对于下边的AddHttpsRedirection你可以酌情处理，一般仅仅是生产模式使用就行。

 // 配置Hstsservices.AddHsts(options =>{options.Preload = true;options.IncludeSubDomains = true;options.MaxAge = TimeSpan.FromDays(60);options.ExcludedHosts.Add("mvp.neters.club");});// 非开发环境if (!_env.IsDevelopment()){services.AddHttpsRedirection(options =>{options.RedirectStatusCode = StatusCodes.Status308PermanentRedirect;options.HttpsPort = 443;}); }

然后配置中间件

 if (!env.IsDevelopment()){app.UseHsts();}app.UseHttpsRedirection();

其他的就不需要处理了，本地测试一看，没有什么问题

如果说你仅仅使用Linux+Nginx的话，应该就是到了这里了，毕竟已经启动了HTTPS安全模式了，配置好代理就可以起飞了，但是本文要说的就是Docker。

3、在Docker中测试

可是我们都知道，如果你使用Docker的话，容器内部是没有localhost的，因为是用的IPv6，那这种配置就是不行。而且如果不配置的话，容器内默认启动的是http协议的80端口，这个和我们的需求不一样，我们需要的是直接启动https的：

那怎么办呢，如果你看过我之前的讲解，可能就想到了，我们可以在Program里直接配置域名，可以达到目的：

Host.CreateDefaultBuilder(args).ConfigureWebHostDefaults(webBuilder =>{webBuilder.UseStartup<Startup>().UseUrls("https://*:443") // 手动指定https;});

这样看起来，按理说这回应该就没有问题了吧，提交到Docker来看看

竟然还报错了你看????

System.InvalidOperationException: Unable to configure HTTPS endpoint. No server certificate was specified, and the default developer certificate could not be found or is out of date.
To generate a developer certificate run 'dotnet dev-certs https'. To trust the certificate (Windows and macOS only) run 'dotnet dev-certs https --trust'.

其实定心一看，应该也能明白发生了什么，就是在Docker中这么启动HTTPS的话，是不允许的，因为没有服务证书，本地vs开发肯定不会有这个问题，这就是环境的差异性。

这个就是今天的重点问题出现了，在Docker中如何合理配置安全证书HTTPS。也咨询了下别人，有的建议直接用k8s，有的说直接用Linux，不用Docker，我想着应该不会这么尴尬的，那到底该如何配置呢，其实是很简单的。

4、配置https证书

那既然需要证书，我们就生成一个证书，方案有很多，你可以去某云上申请免费的证书，也可以使用openssl工具来生成自己的，生成的过程略，自行百度很简单。

但是这样的话，放到公网也是不行，毕竟自己创建的没啥用，除非你用自建的放项目里，用nginx再代理正式的。

所以还是要正规的，这里我用某讯云的上的pfx来处理。

现在有了正式，就需要配置端口监听了，直接配置kestrel：

 public static IHostBuilder CreateHostBuilder(string[] args) =>Host.CreateDefaultBuilder(args).ConfigureWebHostDefaults(webBuilder =>{webBuilder.UseStartup<Startup>().ConfigureKestrel(options =>{options.Listen(IPAddress.IPv6Any, 443, listenOptions =>{listenOptions.UseHttps(Path.Combine(AppContext.BaseDirectory, "socialnetwork.pfx"), "123456");});})//.UseUrls("https://*:443");});

注意这里的监听方式用的是IPv6Any，端口443，然后下边配置路径和密码，这个证书反正是假的，你自己的可要保护好。

如果想要看更多详细的内容，可以看官方的issue：

https://github.com/dotnet/AspNetCore.Docs/issues/6199

那现在提交上去，再来看看

没有问题了，撒花，基于IPv6的端口是443的容器，当然你也可以自定义修改端口。

剩下的就是映射到宿主机端口。

docker run --name=mvpcontainer -d \
-v /etc/localtime:/etc/localtime -it \
-p 5050:443 laozhangisphi/mvpimg

然后正常的nginx代理5050，刷新页面，一切正常。

https://mvp.neters.club

总结：
1、配置Startup.cs；
2、生成证书；
3、配置kestrel监听端口；