Let’s Encrypt 项目旨在让每个网站都能使用 HTTPS 加密,该项目获得了 Mozilla、思科、Akamai、IdenTrust 和 EFF 等组织的支持, 由 Linux 基金会托管。
acme-tiny可以方便我们创建及定期更新证书的小工具。
nginx必须有http_ssl_module,可通过nginx -V来查看。如果当初编译nginx时没有加入这个模块,则需要重新编译。可参考重新编译nginx。
下面内容主要参考Jerry Qu的小站文章。本站的https也是主要参考它来做的。
首先创建一个目录,例如 ssl,用来存放各种临时文件和最后的证书文件。进入这个目录,创建一个 RSA 私钥用于 Let’s Encrypt 识别你的身份:
openssl genrsa 4096 > account.key
我们知道,CA 在签发 DV(Domain Validation)证书时,需要验证域名所有权。传统 CA 的验证方式一般是往 admin@yoursite.com 发验证邮件,而 Let’s Encrypt 是在你的服务器上生成一个随机验证文件,再通过创建 CSR 时指定的域名访问,如果可以访问则表明你对这个域名有控制权。
首先创建用于存放验证文件的目录,例如:
mkdir ~/www/challenges/
在nginx上为上面指定的域名配置 HTTP 服务,以static.yangrunwei.com为例:
server {
listen 80;
server_name static.yangrunwei.com;
location ^~ /.well-known/acme-challenge/ {
alias /home/xxx/www/challenges/;
try_files $uri =404;
}
location / {
rewrite ^/(.*)$ https://static.yangrunwei.com/$1 permanent;
}
...the rest of your config
}
以上配置优先查找 ~/www/challenges/ 目录下的文件,如果找不到就重定向到 HTTPS 地址。这个验证服务以后更新证书还要用到,需要一直保留。
重启nginx使配置生效(如果不知道怎样重启,可参考本文)。
接着就可以生成 CSR(Certificate Signing Request,证书签名请求)文件了。
首先,在之前的目录下再创建一个域名私钥(一定不要使用上面的账户私钥):
openssl genrsa 4096 > domain.key
如果要签发 ECC 证书,请使用以下任一命令生成 domain.key(我做的时候是没有生成ECC证书的):
#secp256r1
openssl ecparam -genkey -name secp256r1 | openssl ec -out domain.key
#secp384r1
openssl ecparam -genkey -name secp384r1 | openssl ec -out domain.key
然后就可以生成 CSR 文件了。推荐至少把域名带 www 和不带 www 的两种情况都加进去,其它子域可以根据需要添加(目前一张证书最多可以包含 100 个域名):
openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yangrunwei.com,DNS:www.yangrunwei.com,DNS:static.yangrunwei.com,DNS:img.yangrunwei.com")) > domain.csr
执行这一步时,如果提示找不到 /etc/ssl/openssl.cnf 文件,应该是没有安装 openssl 库。
执行的效果图如下:
下载 acme-tiny 脚本保存到之前的 ssl 目录:
wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py
指定账户私钥、CSR 以及验证目录,执行脚本:
python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir ~/www/challenges/ > ./signed.crt
如果一切正常,当前目录下就会生成一个 signed.crt,这就是申请好的证书文件。
如果出现如下问题,则表示需要更换DNS,最好是国外的。
ValueError: Wrote file to /home/xxx/www/challenges/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg, but couldn’t download http://www.yoursite.com/.well-known/acme-challenge/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg
本站用的是阿里云的服务器及其DNS解析,没有出现上述问题。
搞定网站证书后,还要下载 Let’s Encrypt 的中间证书。配置 HTTPS 证书时既不要漏掉中间证书,也不要包含根证书。在 Nginx 配置中,需要把中间证书和网站证书合在一起:
wget -O - https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
最终,修改 Nginx 中有关证书的配置并重启服务即可。最终配置,以static.yangrunwei.com为例,如下
server {
listen 443;
server_name static.yangrunwei.com;
ssl on;
ssl_certificate /home/xxx/www/ssl/chained.pem;
ssl_certificate_key /home/xxx/www/ssl/domain.key;
...the rest of your config
}
server {
listen 80;
server_name static.yangrunwei.com;
location ^~ /.well-known/acme-challenge/ {
alias /home/xxx/www/challenges/;
try_files $uri =404;
}
location / {
rewrite ^/(.*)$ https://static.yangrunwei.com/$1 permanent;
}
...the rest of your config
}
因为本站图片资源放在阿里云的OSS存储上,所以img.yangrunwei.com CNAME到了阿里云的内容服务器上。由于阿里云OSS存储暂时不支持上传https证书,所以我只能通过nginx反向代理来做img.yangrunwei.com的https证书了。
首先得配置img.yangrunwei.com A记录到自己的nginx服务器上。可以在DNS解析上修改,并且这个解析很快就可以生效(一般几分钟)。
server {
listen 443;
server_name img.yangrunwei.com;
ssl on;
ssl_certificate /home/xxx/www/ssl/chained.pem;
ssl_certificate_key /home/xxx/www/ssl/domain.key;
location ~ ^/ {
proxy_set_header Referer 防盗链域名;
proxy_pass OSS外网或内网域名;
}
}
server {
listen 80;
server_name img.yangrunwei.com;
location ^~ /.well-known/acme-challenge/ {
alias /home/xxx/www/challenges/;
try_files $uri =404;
}
}
注:如果你在OSS存储上设置了防盗链,必须在代理时加上referer,不然请求会403;代理的域名可选择OSS外网或内网域名,如果选择内网,则必须nginx服务器与OSS存储的服务在同一区域;这样做有一个很大的缺陷,就会nginx服务器压力会增大,因为原来的图片请求都要通过它来转发,而且无法做图片CDN(如果你有CDN,可以在CDN上传证书来解决)。
感谢您的阅读!
如果看完后有任何疑问,欢迎拍砖。
欢迎转载,转载请注明出处:http://www.yangrunwei.com/a/35.html
邮箱:glowrypauky@gmail.com
QQ: 892413924