美文网首页
2018-03-09 如何使用Let's Encrypt申请免费

2018-03-09 如何使用Let's Encrypt申请免费

作者: 张大志的博客 | 来源:发表于2018-03-09 16:53 被阅读0次

    1、更改要申请证书的域名解析记录

    将CAA记录去掉,CAA记录是用于指定哪个证书颁发机构可以给这个域名颁发证书,必须去掉这条记录,不然不会认可Let's Encrypt去颁发证书
    增加一条A记录,指向操作的服务器IP
    去掉CNAME记录

    2、创建帐号

    首先创建一个目录,例如 ssl,用来存放各种临时文件和最后的证书文件。进入这个目录,创建一个 RSA 私钥用于 Let's Encrypt 识别你的身份:

    openssl genrsa 4096 > account.key
    

    3、创建 RSA 私钥(兼容性好)

    创建域名私钥(一定不要使用上面的账户私钥)

    openssl genrsa 4096 > domain.key
    

    4、创建 CSR 文件

    有了私钥文件,就可以生成 CSR 文件了。在 CSR 中推荐至少把域名带 www 和不带 www 的两种情况都加进去,其它子域可以根据需要添加(目前一张证书最多可以包含 100 个域名)

    openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:www.yoursite.com")) > domain.csr 
    #执行以上命令可以直接生成CSR文件
    

    执行这一步时,如果提示找不到 /etc/ssl/openssl.cnf 文件,请看看 /usr/local/openssl/ssl/openssl.cnf 是否存在,如果存在用/usr/local/openssl/ssl/openssl.cnf这个文件。如果还是不行,也可以使用交互方式创建 CSR(需要注意 Common Name 必须为你的域名)

    openssl req -new -sha256 -key domain.key -out domain.csr #交互式命令生成CSR文件
    

    这里要查https://wanwang.aliyun.com/?utm_medium=text&utm_source=bdbrandww&utm_campaign=bdbrand&utm_content=se_103066 #万网查看域名信息,根据域名信息填写

    5、配置验证服务

    我们知道,CA 在签发 DV(Domain Validation)证书时,需要验证域名所有权。传统 CA 的验证方式一般是往 admin@yoursite.com 发验证邮件,而 Let's Encrypt 是在你的服务器上生成一个随机验证文件,再通过创建 CSR 时指定的域名访问,如果可以访问则表明你对这个域名有控制权。
    首先创建用于存放验证文件的目录,例如:

    mkdir /app/www/challenges/
    

    然后配置一个 HTTP 服务,以 Nginx 为例:

    server {
        server_name www.yoursite.com;
    
        location ^~ /.well-known/acme-challenge/ {
            alias /app/www/challenges/;
            try_files $uri =404;
        }
    
        location / {
            rewrite ^/(.*)$ https://www.yoursite.com/$1 permanent;
        }
    }
    nginx -s reload
    

    以上配置优先查找 /app/www/challenges/ 目录下的文件,如果找不到就重定向到 HTTPS 地址。这个验证服务以后更新证书还要用到,建议一直保留。

    6、获取网站证书

    先把 acme-tiny 脚本保存到之前的 ssl 目录

    wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py
    

    指定账户私钥、CSR 以及验证目录,执行脚本生成证书文件

    python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /app/www/challenges/ > ./signed.crt
    

    如果一切正常,当前目录下就会生成一个 signed.crt,这就是申请好的证书文件。

    7、将中间证书和网站证书合并

    wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
    cat signed.crt intermediate.pem > chained.pem
    

    最终,修改 Nginx 中有关证书的配置并 reload 服务即可

    ssl_certificate     /app/www/ssl/chained.pem;
    ssl_certificate_key /app/www/ssl/domain.key;
    

    8、配置自动更新

    Let's Encrypt 签发的证书只有 90 天有效期,推荐使用脚本定期更新。例如我就创建了一个 renew_cert.sh 并通过 chmod a+x renew_cert.sh 赋予执行权限。文件内容如下

    #!/bin/bash
    
    cd /home/xxx/www/ssl/
    python acme_tiny.py --account-key account.key --csr domain.csr --acme-dir /home/xxx/www/challenges/ > signed.crt || exit
    wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
    cat signed.crt intermediate.pem > chained.pem
    service nginx reload
    

    参考:https://imququ.com/post/letsencrypt-certificate.html

    相关文章

      网友评论

          本文标题:2018-03-09 如何使用Let's Encrypt申请免费

          本文链接:https://www.haomeiwen.com/subject/axfmfftx.html