概述

在运行自己的网站时，为了加速自己的Web站点，有时候我们会启用CDN服务来加速自己站点，并且隐藏自己的源站，但是实际上你的源站真的被隐藏了吗？使用Censys：https://search.censys.io/search 搜索一下自己的网站，看看自己的网站的源站有没有泄露呢？

泄露的原因是因为在直接访问源站IP的443端口时，nginx会使用第一个配置了SSL的站点的证书来建立连接，而这个默认证书携带了默认信息导致源站暴露，对此我们可以通过配置一个空白证书到默认站点来解决问题。

教程

本教程以宝塔面板为例，其余面板配置大同小异！

一、准备空白IP证书

证书Key

-----BEGIN EC PRIVATE KEY-----
MHcCAQEEIH1r41Bu0X20ay0VaYYUajFF2cw1blLsywSJX+ORVkyooAoGCCqGSM49
AwEHoUQDQgAE48CdOGIsAlxytJdqvxP8priuUWouAhq80F9GonyvxvHBx+IPCIg0
FPOw/w+2hWrmLU0JjtIyfindTyizH/9E0w==
-----END EC PRIVATE KEY-----

证书PEM

-----BEGIN CERTIFICATE-----
MIICljCCAjugAwIBAgIUD0Il3xgbLeFh4uedCVd3axBxA8swCgYIKoZIzj0EAwIw
cTELMAkGA1UEBhMCQ04xETAPBgNVBAgMCFNoYW5naGFpMREwDwYDVQQHDAhTaGFu
Z2hhaTEaMBgGA1UECgwRTG9jYWwgRGV2ZWxvcG1lbnQxDDAKBgNVBAsMA0RldjES
MBAGA1UEAwwJbG9jYWxob3N0MCAXDTI2MDMxOTA2MjYxNVoYDzIxMjYwMzIwMDYy
NjE1WjBxMQswCQYDVQQGEwJDTjERMA8GA1UECAwIU2hhbmdoYWkxETAPBgNVBAcM
CFNoYW5naGFpMRowGAYDVQQKDBFMb2NhbCBEZXZlbG9wbWVudDEMMAoGA1UECwwD
RGV2MRIwEAYDVQQDDAlsb2NhbGhvc3QwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNC
AATjwJ04YiwCXHK0l2q/E/ymuK5Rai4CGrzQX0aifK/G8cHH4g8IiDQU87D/D7aF
auYtTQmO0jJ+Kd1PKLMf/0TTo4GuMIGrMB0GA1UdDgQWBBT1MKLOjRZYCio/GzFP
hKKSO5EiXTAfBgNVHSMEGDAWgBT1MKLOjRZYCio/GzFPhKKSO5EiXTAsBgNVHREE
JTAjgglsb2NhbGhvc3SHBH8AAAGHEAAAAAAAAAAAAAAAAAAAAAEwDAYDVR0TAQH/
BAIwADAOBgNVHQ8BAf8EBAMCBaAwHQYDVR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUF
BwMCMAoGCCqGSM49BAMCA0kAMEYCIQDznYioTZMGBa1nkPVgVn5CWztx7p9u3mjw
6vADHMUKVgIhAJn1t256M5HgXlSpWM/DMhBSRNtV2sCAr2jnNUKXnP5d
-----END CERTIFICATE-----

二、新建默认站点

• 新建一个默认站点，不要用自己域名，随便填一个即可，例如: hidden.com
• 将该站点设置为默认站点，并且删掉目录下所有文件
• 在宝塔面板中，对这个hidden.com这个无效站点进行证书配置，将第一步的证书配置到这个站点

三、修改站点Nginx配置

• 将第二步配置的无效站点：hidden.com 的设置打开，然后点击配置文件（Nginx配置）
• 在配置文件代码中的前几行任意位置，加入代码：return 444; 然后保存！

四、验证成果

浏览器访问：https://你的VPS的IP ，例如：https://193.167.22.123 ，如果返回类似于如图状态，说明就成功了！

五、后话

该教程适合你的业务刚开始发布的时候，就套用CDN并且隐藏源站IP。如果你的业务直接解析到你的源站并且已经发布一段时间了，那么这个教程可能也保护不了你的源站，因为互联网的测绘引擎已经进行收录了。

所以还是建议在业务刚发布的时候，就使用本教程隐藏源站IP并且开启CDN！