最近把公司的一些产品迁移到了.net core下,随之而来了一个新的问题:在公网部署的环境下,如何在Kestrel的self host模式下部署Https。本文这里就简单的介绍下.net Core Kestrel服务器下Https的部署方案。
申请证书:
证书申请一般是甲方或者工程实施人员干的事情,自己申请一个也是比较简单的,我这里用的是freessl,国内的阿里,腾讯之类的也有自己的免费和收费的ssl证书服务。
Kestrel要求pfx格式的证书,如果申请到的是pem格式的证书,可以用openssl工具转换一下,命令如下:
.openssl pkcs12 -export -inkey tianfang.key -in tianfang.pem -out tianfang.pfx
自签发证书:
如果嫌收费的证书贵,免费的证书有限制。也可以采用自己签发证书的方式在开发环境上使用。自己签发证书的方案较多,网上介绍的较多的方案是openssl签发的方式。这种方式较为繁琐。更为简单的方式是使用.net core sdk自带的dotnet dev-certs的方式签发:
dotnet dev-certs https -ep <要保存证书路径包括文件名>.pfx -p <证书密码>
签发完成后,可以使用下列命令信任改证书(只能用于本机)。
dotnet dev-certs https --trust
这种方式签发证书比较简单,对于开发这种客户端较少的环境还算方便,但对于测试环境来说,要每个测试客户端都信任自签发的证书,还是比较麻烦。对于公司最好还是弄个收费证书省事些。
程序配置:
在asp.net core 3.0中,有两种方案可以配置https证书:环境变量和代码配置。
代码配置:
asp.net core 3中对于Https的配置不再是全局配置了,而是作为kestrel配置的一部分了:
var x509ca = new X509Certificate2(File.ReadAllBytes(@"r: ianfang.pfx"), "tianfang");
webBuilder.UseKestrel(option => option.ListenAnyIP(3000, config => config.UseHttps(x509ca)));
环境变量:
环境变量的方式是我更喜欢的方式,它无需修改程序,更加灵活,配置更简单,只需要设置如下两个环境变量即可:
- ASPNETCORE_Kestrel__Certificates__Default__Password=证书密码
- ASPNETCORE_Kestrel__Certificates__Default__Path=HTTPS证书路径
设置方式也非常多样,系统配置,启动环境配置,代码配置都可以。
当然,除了ssl证书配置外,还是需要url中绑定https的url的。也是可以通过环境变量和代码的方式,具体示例就不列举了。
反向代理:
除了上面这种直接支持的方式外,另外也是可以通过iis和nginx反向代理的方式来间接支持的。将https的支持交给反向代理的服务器,我们的程序中只需要保持对http的支持即可。
小结:
我这里只介绍了最基本的https的支持方案,具体http到https的迁移是还有一些其它的过渡工作要做的,具体可参考下MSDN文章:在 ASP.NET Core 强制实施 HTTPS
参考文章: