加密

概述

了解如何启用 SSL 加密以保护敏感数据。

SSL 加密是一种安全协议，用于加密服务器和客户端之间的连接。我们强烈建议您启用 SSL 加密以保护应用程序的敏感数据，并避免来自某些防火墙后的 WebSockets 连接问题。Galaxy 提供两种启用加密的方法：生成 Let's Encrypt 证书或上传您自己的自定义证书。此外，可以在每个域上启用“强制 HTTPS”选项，以确保通过 HTTP 的连接被重定向到 HTTPS。

开始之前

部署到 .meteorapp.com 子域的所有应用程序都会自动启用加密。要为自定义域启用加密，您必须首先在应用程序设置页面添加自定义域，并配置您的 DNS 以指向 Galaxy 的 DNS。添加后，点击您的自定义域以查看 SSL 加密选项。

Let's Encrypt

为了轻松启用加密，我们建议您通过 Galaxy 生成免费的Let's Encrypt 证书。只需点击一下，Galaxy 就会生成 SSL 证书并将其配置到您的自定义域。

为了让 Galaxy 为您的网站生成证书，我们需要能够说服 LetsEncrypt 证书颁发机构，证明我们是该网站的合法主机。我们通过在响应您的域下特殊 URL 时提供特殊数据来做到这一点。如果您将域的 DNS 配置为通过 CNAME 直接指向 Galaxy，则此方法非常有效，但如果您在前面放置了其他代理层（如 Cloudflare），则可能会变得更复杂。

具体来说，我们希望能够获取 URL http://example.com/.well-known/acme-challenge/_g_selfcheck_ 并获得包含特定随机外观正文的 200 响应。您可以通过查看https://www.meteor.js.cn/.well-known/acme-challenge/_g_selfcheck_ 来查看此过程是否有效。Galaxy 会自动为您提供此特殊 URL，因此您需要确保您放在 Galaxy 前面的任何代理层都将以/.well-known/acme-challenge 开头的请求传递给 Galaxy。
我们确实遵循重定向。您可以通过运行curl -i -L http://example.com/.well-known/acme-challenge/_g_selfcheck_（将您的域名称替换为example.com）来测试您的网站是否可以通过测试。



Galaxy 不支持自动续订通配符（\*。）域的 Let's Encrypt 证书，因为获取这些证书的机制需要您将域的 DNS 管理委派给 Galaxy。

自定义证书

您也可以上传自定义密钥和证书。私钥和证书应为 PEM 格式（与 nginx 使用的格式相同）。如果除了主证书之外还使用了中间证书，则应将其与主证书放在同一个文件中。主证书应放在首位，然后是中间证书。

更新于：2024/05/07