构造

我们正在使用：

Ruby (1.9.2)
Rails (3.0.5)
Devise (1.5.3)

我们的域名（由GoDaddy注册）是oursite.com（不是它的真实姓名），它解析为oursite.herokuapp.com。我希望在子域https://secure.oursite.com中执行安全交易。我从GoDaddy购买了SSL证书，创建了密钥文件，注册了Zerigo DNS服务，并将oursite.com名称服务器设置为指向Zergo的服务器。在Heroku上，我已经完成了：

heroku domains:add secure.oursite.com
heroku ssl:add final.crt site.key
heroku addons:add ssl:hostname

问题

如果用户在http://oursite.com下访问我们的网站，我将如何（以及何时）切换到https://secure.oursite.com？
如何对任何安全交易强制执行https（例如提交密码）？
如何使用localhost：3000？

同样欢迎具体答案，一般答案以及教程和示例的指示。谢谢！

Answer 1

首先：

redirecting from http://example.com to https://example.mysite.com

...是一个非常具体的问题，取代了这个非常普遍的问题。我将总结过去24小时内找到的最佳信息，因为它可能对其他人有所帮助。

如果您在Heroku上部署，Heroku article on SSL必须阅读。
Heroku还有一篇描述how to purchase an SSL certificate from a general vendor的文章以及一篇描述how to purchase an SSL certificate from GoDaddy的文章。
我一直试图为Zerigo DNS service配置CNAME记录。如果您使用Heroku仪表板创建Zerigo帐户，那么您必须使用Heroku仪表板配置您的CNAME记录。 Gory details listed here。
如果您计划升级到Rails 3.1，这是一个很好的时机，因为它有一个内置的force_ssl方法，可以替代各种加载项宝石（特别是{ {1}}）。
尽管如此，https://github.com/rails/ssl_requirement/blob/master/lib/ssl_requirement.rb中ssl_requirement的实施值得关注，只是为了了解它如何使用ssl_requirement和redirect_to对象。
Simone Carletti有一个全面的博客条目Configuring Rails 3 to use HTTPS and SSL，涵盖了Rails 3.0和Rails 3.1。

希望这有用......

Answer 2

我想看一下ssl_requirement。这使您可以保护应用程序的各个部分，从而迫使您仅通过HTTPS提供某些页面。

https://github.com/rails/ssl_requirement

通过本地开发，您需要设置某种Apache / NGinx设置，并使用本地签名的证书进行固定。一个快速的谷歌发现了这个：

http://www.subelsky.com/2007/11/testing-rails-ssl-requirements-on-your.html

需要一个用于Rails的HTTPS / SSL速成课程

构造

问题

2 个答案: