let's encrypt基础知识
- let's encrypt是一个认证机构(Certificate Authority = CA)
- 想使用HTTPS需要认证机构颁发的电子证书
- Let’s Encrypt和其他认证机构的区别(或者说是卖点):
- 免费,Let’s Encrypt提供期限是90天的免费电子证书
- 提供工具certbot自动生成电子证书文件
- Let's Encrypt为了自动生成电子证书搞了一个ACME协议
- Automatic Certificate Management Environment=ACME,自动认证管理环境协议
- 协议草案已经提交IETF
- ACME协议的基本思路是:
- 在你服务器上生成一次性的随机特征数据(nonce)
- 然后通过Let’s Encrypt的服务器核对这个数据
- 核对成功发放证书
- 有两种方式,HTTP和DNS,一般使用的是前者
安装和le t's encrypt
本文使用的环境是:
- Ubuntu 16.04 Server
- Nginx 1.12.0
- certbot,let's encrypt提供的工具
本文安装配置,基本参考了以下两篇文章:
需要先配置好Nginx和需要HTTPS的网站
比如:http://www.mydomain.com,已经正确配置Nginx,正常访问了。
本文以下就以www.mydomian.com域名的网站为例,说明如何配置https。
选择webroot方式
certbot提供了两种安装配置方式:
-
webroot,在已存在的Nginx上配置https -
standalone,certbot帮助创建带https的Nginx
我们使用webroot方式。
创建letsencrypt.conf
创建文件:/etc/nginx/snippets/letsencrypt.conf
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/letsencrypt;
}
创建配置文件需要的目录:
sudo mkdir -p /var/www/letsencrypt/.well-known/acme-challenge
创建ssl.conf
创建文件:/etc/nginx/snippets/ssl.conf
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
ssl_protocols TLSv1.2;
ssl_ciphers EECDH+AESGCM:EECDH+AES;
ssl_ecdh_curve secp384r1;
ssl_prefer_server_ciphers on;
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
修改http网站的配置
找到www.mydomain.com网站在Nginx上的配置文件,比如 /etc/nginx/conf.d/www.mydomain.com.conf
server {
listen 80;
server_name www.mydomain.com;
include /etc/nginx/snippets/letsencrypt.conf; # 需要增加的内容
root /var/www/www.mydomain.com;
index index.html;
location / {
try_files $uri $uri/ =404;
}
}
配置好后,重新加载Nginx:
sudo systemctl reload nginx
安装certbot
sudo apt-get install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install certbot
certbot执行对域名的认证
certbot certonly --webroot --agree-tos --no-eff-email --email yourname@163.com -w /var/www/letsencrypt -d www.mydomain.com
Nginx配置https网站
上一步生成了https所需的的证书。下面将它们配置到Nginx文件中。
/etc/nginx/conf.d/www.mydomain.com.conf增加一个server块:
server {
server_name www.mydomain.com;
listen 443 ssl http2;
listen [::]:443 ssl http2;
ssl_certificate /etc/letsencrypt/live/www.mydomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/www.mydomain.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/www.mydomain.com/fullchain.pem;
include /etc/nginx/snippets/ssl.conf;
root /var/www/www.mydomain.com;
index index.html;
location / {
try_files $uri $uri/ =404;
}
}
重新加载Nginx:
sudo systemctl reload nginx
这时,应该能通过https访问网站了。
强制http重定向到https
将Nginx配置文件,http部分,配置为:
server {
listen 80;
server_name www.mydomain.com;
include /etc/nginx/snippets/letsencrypt.conf;
location / {
return 301 https://www.mydomain.com$request_uri;
}
}
定时更新证书
certbot生成的证书是有90天期限的。
可以通过命令,重新生成新的证书:
sudo certbot renew
需要设置定时任务让renew自动化。
创建文件,/etc/letsencrypt/letsencrypt.sh,当定时任务触发时调用的脚本文件。
#!/bin/bash
systemctl reload nginx
# If you have other services that use the certificates:
# systemctl restart mosquitto
设置脚本文件可执行权限:
chmod +x /etc/letsencrypt/letsencrypt.sh
编辑cron列表:
sudo crontab -e
增加1行:
20 3 * * * certbot renew --noninteractive --renew-hook /etc/letsencrypt/letsencrypt.sh
任务将在每天3:20执行。
如何查看日志
比如想知道定时任务执行是否成功:
sudo tail -f /var/log/letsencrypt/letsencrypt.log
网友评论