准备工作,创建https文件
mkdir /data/www/https
1 创建账户私钥
首先创建一个目录,用来存放所有的密钥文件。
我在根目录下创建了/data/www/https文件
之后就是创建账户密钥了,命名为account.key,具体命令如下:
openssl genrsa 4096 > account.key
这个密钥是用来给Let's Encrypt网站验证身份的。
2 创建CSR文件
下面的步骤就是为生成SSL证书做准备了。
首先用下面的命令生成域名密钥。
openssl genrsa 4096 > domain.key
之后生成CSR文件,这里要将需要SSL的域名填进去,以我的网站为例,我将www域名添加了进去。
openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:www.54hongxi.xyz")) > domain.csr
3 域名验证
在Let's Encrypt进行证书签发之前,需要对我们的网站验证所有权。具体来说,他会访问网站的/.well-known/acme-challenge/目录来查看有没有他要求的文件。
在这里,我们只需在网站根目录下创建该文件夹即可。
mkdir /data/www/challenges
4 创建证书
首先,下载acme-tiny自动化证书管理脚本。
wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py
接着,指定账户密钥、域名密钥以及验证网站所有权时使用的目录。
python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /data/www/challenges/ > ./signed.crt
最后,需要将中间证书和网站证书合并:
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
这样,我们最终的证书就是chained.pem。
其他
创建challenges
mkdir /data/www/challenges
配置nginx
server {
listen 80 default_server;
listen 443 default_server;//ssl监听443
server_name 网址;
//开启并配置
ssl on;
ssl_certificate /data/www/https/chained.pem;
ssl_certificate_key /data/www/https/domain.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
ssl_session_cache shared:SSL:50m;
location /.well-known/acme-challenge/ {
alias /data/www/challenges/;
try_files $uri =404;
}
location /static {
alias /data/www/orderAll/web/static/;
}
location / {
try_files $uri @yourapplication;
}
location @yourapplication {
include uwsgi_params;
uwsgi_pass unix:/data/www/logs/order.sock;
uwsgi_read_timeout 1800;
uwsgi_send_timeout 300;
}
}
重启nginx
sudo service nginx reload
网友评论