Hexo从入门到进阶：绑定自定义Https域名全流程解析

一、为何需要绑定自定义Https域名？

在Hexo搭建静态博客的过程中，默认生成的username.github.io或username.gitee.io域名存在两个核心痛点：其一，域名所有权归属平台，用户无法自主控制；其二，HTTP协议传输存在数据泄露风险，不符合现代安全标准。通过绑定自定义Https域名，开发者可获得三方面收益：

1. 品牌强化：使用blog.yourdomain.com等个性化域名提升专业度
2. 安全保障：SSL/TLS加密防止中间人攻击，保护用户隐私
3. SEO优化：搜索引擎对Https站点给予更高权重，提升流量获取能力

二、前期准备工作清单

1. 域名注册与选择

推荐通过阿里云万网、腾讯云DNSPod或Cloudflare等正规注册商购买域名，需注意：

• 优先选择.com、.net等通用顶级域
• 避免使用连字符或特殊符号
• 提前查询WHOIS信息确保可注册性

2. SSL证书类型选择

根据应用场景选择证书类型：
| 证书类型 | 验证方式 | 适用场景 | 价格区间 |
|————-|————-|————-|————-|
| DV证书 | 域名验证 | 个人博客 | 免费-200元/年 |
| OV证书 | 组织验证 | 企业官网 | 500-2000元/年 |
| EV证书 | 扩展验证 | 金融电商 | 2000元+/年 |

推荐方案：个人博客使用Let’s Encrypt免费DV证书，企业站点选择OV证书。

3. 服务器环境准备

需具备：

• 公网IP的云服务器（推荐Ubuntu 20.04 LTS）
• 已安装Nginx/Apache等Web服务器
• 基础SSH操作能力

三、核心配置流程详解

1. DNS解析配置

以阿里云DNS为例：

1. 登录控制台进入「云解析DNS」
2. 添加记录：
   • 记录类型：A
   • 主机记录：@或www
   • 记录值：服务器公网IP
   • TTL：300秒
3. 添加CNAME记录指向CDN节点（如使用CDN）

验证要点：通过ping yourdomain.com确认解析生效，响应IP应与服务器IP一致。

2. SSL证书申请与部署

Let’s Encrypt证书申请（推荐）

# 安装Certbot工具
sudo apt install certbot python3-certbot-nginx
# 申请证书（自动配置Nginx）
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com
# 测试自动续期
sudo certbot renew --dry-run

手动安装证书流程

1. 从证书颁发机构下载.crt和.key文件
2. 上传至服务器/etc/nginx/ssl/目录
3. 设置权限：

   sudo chmod 600 /etc/nginx/ssl/yourdomain.com.key
   sudo chmod 644 /etc/nginx/ssl/yourdomain.com.crt

3. Hexo配置文件修改

编辑_config.yml文件：

url: https://yourdomain.com
root: /
permalink: :year/:month/:day/:title/

关键参数说明：

• url：必须包含https://协议头
• root：根目录配置需与服务器部署路径一致
• 生成后执行hexo clean && hexo g重新编译

4. Nginx反向代理配置

典型配置示例：

server {
    listen 443 ssl;
    server_name yourdomain.com www.yourdomain.com;
    ssl_certificate /etc/nginx/ssl/yourdomain.com.crt;
    ssl_certificate_key /etc/nginx/ssl/yourdomain.com.key;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    location / {
        root /var/www/hexo;
        index index.html;
        try_files $uri $uri/ /index.html;
    }
}
server {
    listen 80;
    server_name yourdomain.com www.yourdomain.com;
    return 301 https://$host$request_uri;
}

配置要点：

• 强制HTTPS跳转（301重定向）
• 启用HTTP/2协议（需Nginx 1.9.5+）
• 配置HSTS头增强安全（可选）

四、常见问题解决方案

1. 证书过期处理

• 设置Cron定时任务自动续期：

  0 3 * * * /usr/bin/certbot renew --quiet && systemctl reload nginx

• 手动续期命令：

  sudo certbot renew --force-renewal

2. 混合内容警告

现象：浏览器控制台出现”Mixed Content”错误
解决方案：

1. 检查Hexo文章中的图片/资源链接是否为HTTP
2. 修改_config.yml中的post_asset_folder: true
3. 使用相对路径或完整HTTPS路径

3. CDN加速配置

以Cloudflare为例：

1. 修改DNS解析至Cloudflare命名服务器
2. 在SSL/TLS选项卡选择「Full (Strict)」模式
3. 开启「Always Use HTTPS」和「Automatic HTTPS Rewrites」

五、性能优化建议

1. 启用OCSP Stapling：减少SSL握手延迟

   ssl_stapling on;
   ssl_stapling_verify on;
   resolver 8.8.8.8 8.8.4.4 valid=300s;
   resolver_timeout 5s;

2. 配置会话复用：提升重复访问速度

   ssl_session_cache shared10m;
   ssl_session_timeout 10m;

3. 使用最新TLS协议：

   ssl_protocols TLSv1.2 TLSv1.3;
   ssl_prefer_server_ciphers on;

六、安全加固措施

1. 防火墙配置：

   sudo ufw allow 'Nginx Full'
   sudo ufw enable

2. 失败重试限制：

   limit_conn_zone $binary_remote_addr zone=perip:10m;
   server {
    limit_conn perip 10;
    # ...其他配置
   }

3. 定期安全扫描：

   sudo apt install nikto
   nikto -h yourdomain.com -ssl

通过以上系统化配置，开发者可完成Hexo博客从HTTP到Https的安全升级。实际部署中建议先在测试环境验证，再逐步应用到生产环境。配置完成后，可通过SSL Labs的测试工具（https://www.ssllabs.com/ssltest/）进行安全评级检测，确保达到A+级标准。