最近把公司的一些產(chǎn)品遷移到了.net core下，隨之而來(lái)了一個(gè)新的問(wèn)題：在公網(wǎng)部署的環(huán)境下，如何在Kestrel的self host模式下部署Https。本文這里就簡(jiǎn)單的介紹下.net Core Kestrel服務(wù)器下Https的部署方案。

申請(qǐng)證書：

證書申請(qǐng)一般是甲方或者工程實(shí)施人員干的事情，自己申請(qǐng)一個(gè)也是比較簡(jiǎn)單的，我這里用的是freessl，國(guó)內(nèi)的阿里，騰訊之類的也有自己的免費(fèi)和收費(fèi)的ssl證書服務(wù)。

Kestrel要求pfx格式的證書，如果申請(qǐng)到的是pem格式的證書，可以用openssl工具轉(zhuǎn)換一下，命令如下：

 .\openssl pkcs12 -export -inkey tianfang.key -in tianfang.pem -out tianfang.pfx

自簽發(fā)證書：

如果嫌收費(fèi)的證書貴，免費(fèi)的證書有限制。也可以采用自己簽發(fā)證書的方式在開發(fā)環(huán)境上使用。自己簽發(fā)證書的方案較多，網(wǎng)上介紹的較多的方案是openssl簽發(fā)的方式。這種方式較為繁瑣。更為簡(jiǎn)單的方式是使用.net core sdk自帶的dotnet dev-certs的方式簽發(fā)：

dotnet dev-certs https -ep <要保存證書路徑包括文件名>.pfx -p <證書密碼>

簽發(fā)完成后，可以使用下列命令信任改證書（只能用于本機(jī)）。

dotnet dev-certs https --trust

這種方式簽發(fā)證書比較簡(jiǎn)單，對(duì)于開發(fā)這種客戶端較少的環(huán)境還算方便，但對(duì)于測(cè)試環(huán)境來(lái)說(shuō)，要每個(gè)測(cè)試客戶端都信任自簽發(fā)的證書，還是比較麻煩。對(duì)于公司最好還是弄個(gè)收費(fèi)證書省事些。

程序配置：

在asp.net core 3.0中，有兩種方案可以配置https證書：環(huán)境變量和代碼配置。

代碼配置：

asp.net core 3中對(duì)于Https的配置不再是全局配置了，而是作為kestrel配置的一部分了：

    var x509ca = new X509Certificate2(File.ReadAllBytes(@"r:\tianfang.pfx"), "tianfang");
    webBuilder.UseKestrel(option => option.ListenAnyIP(3000, config => config.UseHttps(x509ca)));

環(huán)境變量：

環(huán)境變量的方式是我更喜歡的方式，它無(wú)需修改程序，更加靈活，配置更簡(jiǎn)單，只需要設(shè)置如下兩個(gè)環(huán)境變量即可：

• ASPNETCORE_Kestrel__Certificates__Default__Password=證書密碼

• ASPNETCORE_Kestrel__Certificates__Default__Path=HTTPS證書路徑

設(shè)置方式也非常多樣，系統(tǒng)配置，啟動(dòng)環(huán)境配置，代碼配置都可以。

當(dāng)然，除了ssl證書配置外，還是需要url中綁定https的url的。也是可以通過(guò)環(huán)境變量和代碼的方式，具體示例就不列舉了。

反向代理：

除了上面這種直接支持的方式外，另外也是可以通過(guò)iis和nginx反向代理的方式來(lái)間接支持的。將https的支持交給反向代理的服務(wù)器，我們的程序中只需要保持對(duì)http的支持即可。

小結(jié)：

我這里只介紹了最基本的https的支持方案，具體http到https的遷移是還有一些其它的過(guò)渡工作要做的，具體可參考下MSDN文章：在 ASP.NET Core 強(qiáng)制實(shí)施 HTTPS

以上就是這篇文章的全部?jī)?nèi)容了，希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，謝謝大家對(duì)的支持。如果你想了解更多相關(guān)內(nèi)容請(qǐng)查看下面相關(guān)鏈接