转载 原文地址
本文记录了利用 Let’s Encrypt,免费全站开启 HTTPS 协议。
关于HTTPS
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
HTTPS优势:安全传输,有效阻止运营商劫持并注入广告,以及提供 HTTP/2 协议的支持,详情自行 Google
关于免费证书发放机构
Let’s Encrypt,是2016年4月12日成立的一家证书授权中心,提供免费的传输层安全(TLS)X.509证书,通过自动化的过程消除目前安全网站证书需要手工创建,加密,签名,安装以及更新的复杂性。
开启 HTTPS 操作步骤如下 ↓
Let’s Encrypt 的官网提供了更为自动化的脚本,但本文借鉴的是作者:Macken 提供的方法,采用Github上的一个开源脚本acme-tiny。
本文基于社区企业操作系统CentOS和高性能的HTTP和反向代理服务器Nginx,其他Linux版本理论上是可行的,但未尝试。
克隆脚本
➜ ~ sudo git clone https://github.com/diafygi/acme-tiny.git
➜ ~ cd acme-tiny // 下面的操作都在这个目录!
创建Let’s Encrypt私钥
➜ ~ openssl genrsa 4096 > account.key
创建CSR(Certificate Signing Request,证书签名请求) 文件
ACME协议 (Let’s Encrypt所使用的) 需要一个csr文件,用来进行证书签名和证书更新。
将需要加密的域名加到下面的代码中,目前一张证书最多可以加密 100 个域名,足够普通用户使用:
// acme-tiny 目录执行
➜ ~ openssl genrsa 4096 > domain.key
➜ ~ openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:jandou.com,DNS:www.jandou.com")) > domain.csr
注意:openssl.cnf 文件的位置可能会因为linux版本的不同而有变,自行搜索得到路径 >>tips
证明你拥有该域名
acme-tiny脚本会生成验证文件并写入到你指定的目录下,然后通过 “.well-known/acme-challenge/“ 这个URL来访问到验证文件。
注意:Let’s Encrypt 会对你的服务器做一次http请求来进行验证,因此你需要保证80端口能够访问。
-
手动生成challenges目录,用来存放验证文件(路径可以根据需要修改)
➜ ~ mkdir -p /var/www/challenges -
配置nignx的80端口
修改
Nginx默认配置/usr/local/nginx/conf/nginx.conf中的server段,注意备份:server { listen 80; server_name jandou.com www.jandou.com; location /.well-known/acme-challenge/ { alias /var/www/challenges/; try_files $uri =404; } }
暂时清除虚拟主机配置
暂时清除虚拟主机配置,避免下一步获取签名证书 Download失败。
<div class="tip">注意:先备份,再删除/usr/local/nginx/conf/vhost/下的虚拟配置。</div>
获取签名证书
//acme-tiny 目录执行
➜ ~ sudo chmod +x acme_tiny.py
➜ ~ python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /var/www/challenges/ > ./signed.crt
注意:如果下载出错,则是Nginx的默认配置有误,或虚拟主机配置冲突导致。
安装证书
针对nginx, 你还需要将 Let’s Encrypt 的中间件证书 intermediate.pem 内容附加在签名证书signed.crt之后:
// acme-tiny 目录执行
➜ ~ wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
➜ ~ cat signed.crt intermediate.pem > chained.pem
成功之后,恢复 Nginx 默认配置和虚拟主机配置,并重启 Nginx
➜ ~ lnmp reload // lnmp系列软件全部重载
➜ ~ service nginx reload // 仅重启 `Nginx`
恭喜!你的网站已经使用上了HTTPS。 但Let’s Encrypt 证书有效期只有90天, 所以需要定期更新。现在只需要写一个更新脚本并把它放到定时任务中即可 >> tips
Tips
-
搜索文件技巧
//根目录搜索`nginx.conf` find / -name 'nginx.conf' -
证书自动更新定时任务
脚本
renew_cert.sh负责一键更新,我将其存放在root目录下,脚本内容:!/usr/bin/sh python /root/openssl/acme-tiny/acme_tiny.py --account-key /root/openssl/acme-tiny/account.key --csr /root/openssl/acme-tiny/domain.csr --acme-dir /var/www/challenges/ > /tmp/signed.crt || exit wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem cat /tmp/signed.crt intermediate.pem > /root/openssl/acme-tiny/chained.pem service nginx reload定时任务可以设置为每个月执行一次:
➜ ~ 0 0 1 * * sudo bash /path/to/renew_cert.sh 2>> /var/log/acme_tiny.log如果没有定时更新,可以直接执行该脚本
. renew_cert.sh可能 Download 失败,参考上面配置nignx的80端口,修改
Nginx默认配置。
参考
鸣谢:Let’s Encrypt,站点加密之旅 laravel-china.org (如遇到问题可参考该链接下的讨论)
原稿:Let’s Encrypt,站点加密之旅
网友评论