Hexo绑定自定义HTTPS域名全流程指南

一、准备工作：域名与服务器环境搭建

1.1 域名选择与注册

选择一个易记且与个人品牌相关的域名是第一步。推荐通过阿里云、腾讯云等正规域名注册商购买，价格通常在30-100元/年。注册时需注意：

• 优先选择.com/.cn等主流后缀
• 避免使用特殊字符或连字符
• 提前查询域名WHOIS信息是否可用

1.2 服务器环境准备

Hexo作为静态博客生成器，需要配合服务器部署。推荐方案：

• 云服务器：阿里云ECS/腾讯云CVM（最低配置1核1G即可）
• 虚拟主机：支持Node.js环境的共享主机
• Serverless方案：Vercel/Netlify（适合纯前端部署）

以阿里云ECS为例，部署前需完成：

1. 安装Nginx（sudo apt install nginx）
2. 配置防火墙放行80/443端口
3. 设置SSH密钥登录增强安全性

二、SSL证书申请与配置

2.1 证书类型选择

对于个人博客，推荐使用免费DV证书：

• Let’s Encrypt：90天有效期，支持自动续期
• 阿里云/腾讯云免费证书：1年有效期，需手动续期

2.2 Let’s Encrypt证书申请流程

1. 安装Certbot工具：

   sudo apt install certbot python3-certbot-nginx

2. 执行证书申请：

   sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

3. 自动配置Nginx：
   Certbot会检测Nginx配置并自动修改，添加以下内容：

   listen 443 ssl;
   ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
   ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;

4. 设置自动续期：

   sudo certbot renew --dry-run

   建议设置crontab每月执行自动续期

三、Hexo部署优化

3.1 Hexo基础配置

修改_config.yml文件关键参数：

url: https://yourdomain.com
root: /
permalink: :year/:month/:day/:title/

3.2 部署脚本优化

在package.json中添加自定义部署脚本：

"scripts": {
  "deploy": "hexo clean && hexo generate && rsync -avz --delete public/ user@server:/var/www/hexo"
}

3.3 Nginx反向代理配置

完整Nginx配置示例：

server {
    listen 80;
    server_name yourdomain.com www.yourdomain.com;
    return 301 https://$host$request_uri;
}
server {
    listen 443 ssl;
    server_name yourdomain.com www.yourdomain.com;
    ssl_certificate /path/to/fullchain.pem;
    ssl_certificate_key /path/to/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    root /var/www/hexo;
    index index.html;
    location / {
        try_files $uri $uri/ =404;
    }
    # 静态资源缓存配置
    location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg)$ {
        expires 1y;
        add_header Cache-Control "public";
    }
}

四、常见问题解决方案

4.1 证书验证失败处理

• DNS验证失败：检查CNAME记录是否生效
• 文件验证失败：确保.well-known目录可访问
• 端口占用：使用netstat -tulnp检查80/443端口

4.2 混合内容警告

现象：浏览器控制台显示”Mixed Content”警告
解决方案：

1. 检查所有资源链接是否为HTTPS
2. 在Hexo配置中添加：

   url: https://yourdomain.com

3. 使用hexo-autoprefixer插件自动转换资源链接

4.3 性能优化建议

1. 启用HTTP/2：

   listen 443 ssl http2;

2. 配置Gzip压缩：

   gzip on;
   gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

3. 使用CDN加速：
   推荐配置：

   location / {
    proxy_pass http://your-cdn-domain;
    proxy_set_header Host $host;
   }

五、进阶配置

5.1 多域名证书配置

使用SAN证书支持多个域名：

sudo certbot --nginx -d main.com -d backup.com -d www.main.com

5.2 自动部署方案

结合GitHub Actions实现自动部署：

name: Deploy Hexo
on:
  push:
    branches: [ main ]
jobs:
  deploy:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v2
    - uses: actions/setup-node@v2
      with:
        node-version: '14'
    - run: npm install hexo-cli -g
    - run: npm install
    - run: hexo generate
    - name: Deploy to Server
      uses: appleboy/ssh-action@master
      with:
        host: ${{ secrets.SERVER_IP }}
        username: ${{ secrets.SERVER_USER }}
        key: ${{ secrets.SERVER_KEY }}
        script: |
          cd /var/www/hexo
          rm -rf *
          cp -r /tmp/hexo/_site/* .

5.3 安全加固方案

1. 禁用弱密码算法：

   ssl_prefer_server_ciphers on;
   ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256...';

2. 配置HSTS：

   add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

3. 定期安全扫描：

   sudo apt install ssl-cert-check
   ssl-cert-check -s yourdomain.com -p 443

六、维护与监控

6.1 证书监控

设置证书过期提醒：

# 检查证书过期时间
openssl x509 -in /path/to/cert.pem -noout -dates
# 结合cron设置提前30天提醒
0 0 * * * /usr/bin/certbot renew --dry-run && \
  if [ $? -ne 0 ]; then \
    echo "证书即将过期" | mail -s "证书警告" admin@example.com; \
  fi

6.2 性能监控

使用Prometheus+Grafana监控：

1. 安装Node Exporter收集服务器指标

2. 配置Nginx metrics模块：

   location /metrics {
    stub_status on;
    access_log off;
   }

3. 设置Grafana仪表盘监控：

• SSL证书过期时间
• 请求响应时间
• 带宽使用情况

七、总结与最佳实践

1. 自动化优先：尽可能将证书续期、部署等流程自动化
2. 安全冗余：配置多个监控渠道，避免单点故障
3. 性能基准：定期进行性能测试，优化配置参数
4. 备份策略：保持Hexo源码和生成文件的定期备份

通过以上步骤，您将获得一个支持HTTPS、性能优化且易于维护的Hexo博客系统。实际部署中，建议先在测试环境验证所有配置，再应用到生产环境。