nginx + Let's Encrypt + acme-tiny = https证书

作者:杨润炜
日期:2016/2/26 16:27

Let’s Encrypt 项目旨在让每个网站都能使用 HTTPS 加密,该项目获得了 Mozilla、思科、Akamai、IdenTrust 和 EFF 等组织的支持, 由 Linux 基金会托管。
acme-tiny可以方便我们创建及定期更新证书的小工具。

准备工作

nginx支持ssl

nginx必须有http_ssl_module,可通过nginx -V来查看。如果当初编译nginx时没有加入这个模块,则需要重新编译。可参考重新编译nginx

生成网站证书

下面内容主要参考Jerry Qu的小站文章。本站的https也是主要参考它来做的。

创建帐号

首先创建一个目录,例如 ssl,用来存放各种临时文件和最后的证书文件。进入这个目录,创建一个 RSA 私钥用于 Let’s Encrypt 识别你的身份:

  1. openssl genrsa 4096 > account.key
配置验证服务

我们知道,CA 在签发 DV(Domain Validation)证书时,需要验证域名所有权。传统 CA 的验证方式一般是往 admin@yoursite.com 发验证邮件,而 Let’s Encrypt 是在你的服务器上生成一个随机验证文件,再通过创建 CSR 时指定的域名访问,如果可以访问则表明你对这个域名有控制权。
首先创建用于存放验证文件的目录,例如:
mkdir ~/www/challenges/
在nginx上为上面指定的域名配置 HTTP 服务,以static.yangrunwei.com为例:

  1. server {
  2. listen 80;
  3. server_name static.yangrunwei.com;
  4. location ^~ /.well-known/acme-challenge/ {
  5. alias /home/xxx/www/challenges/;
  6. try_files $uri =404;
  7. }
  8. location / {
  9. rewrite ^/(.*)$ https://static.yangrunwei.com/$1 permanent;
  10. }
  11. ...the rest of your config
  12. }

以上配置优先查找 ~/www/challenges/ 目录下的文件,如果找不到就重定向到 HTTPS 地址。这个验证服务以后更新证书还要用到,需要一直保留。
重启nginx使配置生效(如果不知道怎样重启,可参考本文)。

创建 CSR 文件

接着就可以生成 CSR(Certificate Signing Request,证书签名请求)文件了。
首先,在之前的目录下再创建一个域名私钥(一定不要使用上面的账户私钥):

  1. openssl genrsa 4096 > domain.key

如果要签发 ECC 证书,请使用以下任一命令生成 domain.key(我做的时候是没有生成ECC证书的):

  1. #secp256r1
  2. openssl ecparam -genkey -name secp256r1 | openssl ec -out domain.key
  3. #secp384r1
  4. openssl ecparam -genkey -name secp384r1 | openssl ec -out domain.key

然后就可以生成 CSR 文件了。推荐至少把域名带 www 和不带 www 的两种情况都加进去,其它子域可以根据需要添加(目前一张证书最多可以包含 100 个域名):

  1. openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yangrunwei.com,DNS:www.yangrunwei.com,DNS:static.yangrunwei.com,DNS:img.yangrunwei.com")) > domain.csr

执行这一步时,如果提示找不到 /etc/ssl/openssl.cnf 文件,应该是没有安装 openssl 库。

执行的效果图如下:
配置验证服务效果图

获取网站证书

下载 acme-tiny 脚本保存到之前的 ssl 目录:

  1. wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py

指定账户私钥、CSR 以及验证目录,执行脚本:

  1. python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir ~/www/challenges/ > ./signed.crt

如果一切正常,当前目录下就会生成一个 signed.crt,这就是申请好的证书文件。
如果出现如下问题,则表示需要更换DNS,最好是国外的。

ValueError: Wrote file to /home/xxx/www/challenges/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg, but couldn’t download http://www.yoursite.com/.well-known/acme-challenge/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg

本站用的是阿里云的服务器及其DNS解析,没有出现上述问题。

搞定网站证书后,还要下载 Let’s Encrypt 的中间证书。配置 HTTPS 证书时既不要漏掉中间证书,也不要包含根证书。在 Nginx 配置中,需要把中间证书和网站证书合在一起:

  1. wget -O - https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem > intermediate.pem
  2. cat signed.crt intermediate.pem > chained.pem

最终,修改 Nginx 中有关证书的配置并重启服务即可。最终配置,以static.yangrunwei.com为例,如下

  1. server {
  2. listen 443;
  3. server_name static.yangrunwei.com;
  4. ssl on;
  5. ssl_certificate /home/xxx/www/ssl/chained.pem;
  6. ssl_certificate_key /home/xxx/www/ssl/domain.key;
  7. ...the rest of your config
  8. }
  9. server {
  10. listen 80;
  11. server_name static.yangrunwei.com;
  12. location ^~ /.well-known/acme-challenge/ {
  13. alias /home/xxx/www/challenges/;
  14. try_files $uri =404;
  15. }
  16. location / {
  17. rewrite ^/(.*)$ https://static.yangrunwei.com/$1 permanent;
  18. }
  19. ...the rest of your config
  20. }

配置阿里云OSS存储https

因为本站图片资源放在阿里云的OSS存储上,所以img.yangrunwei.com CNAME到了阿里云的内容服务器上。由于阿里云OSS存储暂时不支持上传https证书,所以我只能通过nginx反向代理来做img.yangrunwei.com的https证书了。

配置域名解析

首先得配置img.yangrunwei.com A记录到自己的nginx服务器上。可以在DNS解析上修改,并且这个解析很快就可以生效(一般几分钟)。

配置nginx反向代理
  1. server {
  2. listen 443;
  3. server_name img.yangrunwei.com;
  4. ssl on;
  5. ssl_certificate /home/xxx/www/ssl/chained.pem;
  6. ssl_certificate_key /home/xxx/www/ssl/domain.key;
  7. location ~ ^/ {
  8. proxy_set_header Referer 防盗链域名;
  9. proxy_pass OSS外网或内网域名;
  10. }
  11. }
  12. server {
  13. listen 80;
  14. server_name img.yangrunwei.com;
  15. location ^~ /.well-known/acme-challenge/ {
  16. alias /home/xxx/www/challenges/;
  17. try_files $uri =404;
  18. }
  19. }

注:如果你在OSS存储上设置了防盗链,必须在代理时加上referer,不然请求会403;代理的域名可选择OSS外网或内网域名,如果选择内网,则必须nginx服务器与OSS存储的服务在同一区域;这样做有一个很大的缺陷,就会nginx服务器压力会增大,因为原来的图片请求都要通过它来转发,而且无法做图片CDN(如果你有CDN,可以在CDN上传证书来解决)。

参考

Let’s Encrypt,免费好用的 HTTPS 证书
acme-tiny
oss通过反向代理配置自己域名的https

感谢您的阅读!
如果看完后有任何疑问,欢迎拍砖。
欢迎转载,转载请注明出处:http://www.yangrunwei.com/a/35.html
邮箱:glowrypauky@gmail.com
QQ: 892413924