最近把公司的一些產品遷移到了.net core下，隨之而來了一個新的問題：在公網部署的環境下，如何在Kestrel的self host模式下部署Https。本文這里就簡單的介紹下.net Core Kestrel服務器下Https的部署方案。

申請證書：

證書申請一般是甲方或者工程實施人員干的事情，自己申請一個也是比較簡單的，我這里用的是freessl，國內的阿里，騰訊之類的也有自己的免費和收費的ssl證書服務。

Kestrel要求pfx格式的證書，如果申請到的是pem格式的證書，可以用openssl工具轉換一下，命令如下：

 .\openssl pkcs12 -export -inkey tianfang.key -in tianfang.pem -out tianfang.pfx

自簽發證書：

如果嫌收費的證書貴，免費的證書有限制。也可以采用自己簽發證書的方式在開發環境上使用。自己簽發證書的方案較多，網上介紹的較多的方案是openssl簽發的方式。這種方式較為繁瑣。更為簡單的方式是使用.net core sdk自帶的dotnet dev-certs的方式簽發：

dotnet dev-certs https -ep <要保存證書路徑包括文件名>.pfx -p <證書密碼>

簽發完成后，可以使用下列命令信任改證書（只能用于本機）。

dotnet dev-certs https --trust

這種方式簽發證書比較簡單，對于開發這種客戶端較少的環境還算方便，但對于測試環境來說，要每個測試客戶端都信任自簽發的證書，還是比較麻煩。對于公司最好還是弄個收費證書省事些。

程序配置：

在asp.net core 3.0中，有兩種方案可以配置https證書：環境變量和代碼配置。

代碼配置：

asp.net core 3中對于Https的配置不再是全局配置了，而是作為kestrel配置的一部分了：

    var x509ca = new X509Certificate2(File.ReadAllBytes(@"r:\tianfang.pfx"), "tianfang");
    webBuilder.UseKestrel(option => option.ListenAnyIP(3000, config => config.UseHttps(x509ca)));

環境變量：

環境變量的方式是我更喜歡的方式，它無需修改程序，更加靈活，配置更簡單，只需要設置如下兩個環境變量即可：

• ASPNETCORE_Kestrel__Certificates__Default__Password=證書密碼

• ASPNETCORE_Kestrel__Certificates__Default__Path=HTTPS證書路徑

設置方式也非常多樣，系統配置，啟動環境配置，代碼配置都可以。

當然，除了ssl證書配置外，還是需要url中綁定https的url的。也是可以通過環境變量和代碼的方式，具體示例就不列舉了。

反向代理：

除了上面這種直接支持的方式外，另外也是可以通過iis和nginx反向代理的方式來間接支持的。將https的支持交給反向代理的服務器，我們的程序中只需要保持對http的支持即可。

小結：

我這里只介紹了最基本的https的支持方案，具體http到https的遷移是還有一些其它的過渡工作要做的，具體可參考下MSDN文章：在 ASP.NET Core 強制實施 HTTPS

以上就是這篇文章的全部內容了，希望本文的內容對大家的學習或者工作具有一定的參考學習價值，謝謝大家對的支持。如果你想了解更多相關內容請查看下面相關鏈接