5

Let's Encrypt简介

Let's Encrypt 是一个免费、开放,自动化的证书颁发机构。

如果我们要启用 HTTPS,就需要从证书授权机构(以下简称 CA ) 处获取一个证书,Let's Encrypt 就是一个 CA。本文是 Debian 8 + Nginx 下的配置过程。

Let's Encrypt 安装

Let's Encrypt 官方 推荐我们使用 certbot 客户端

注:letsencrypt 或者 letsencrypt-auto 这种方式从2016年5月开始已经过时了。

certbot 客户端要求安装 Python 要有 root 权限

clipboard.png

如上图,我们在 certbot 的官网选择自己使用的服务器和操作系统。网站就会给出对应的安装文档。

安装客户端

sudo apt-get install certbot -t jessie-backports

获取证书

证书的获取有两种方式

第一种,web 服务器已经在运行了,不能关闭端口和服务器,可以使用 --webroot 模式

sudo certbot certonly --webroot -w /var/www/example -d example.com  --agree-tos --email 你的@邮箱.com

这个命令会为 example.com 域名生成一个证书,使用 --webroot 模式会在 /var/www/example 中创建 .well-known 文件夹,这个文件夹里面包含了一些验证文件,letsencrypt 会通过访问 example.com/.well-known/acme-challenge 来验证你的域名是否绑定的这个服务器。--agree-tos 参数是你同意他们的协议。

第二种,如果我们的项目没有根目录,只是一个微服务,可以使用 --standalone 模式。
这种模式会自动启用服务器的 443 端口,来验证域名的归属。我们有其他服务(例如nginx)占用了443端口,就必须先停止这些服务,在证书生成完毕后,再启用。

sudo certbot certonly --standalone -d example.com --agree-tos --email 你的@邮箱.com

证书生成目录在 /etc/letsencrypt/live/,该目录下可以看到对应域名的文件夹,里面存放了指向证书的一些快捷方式。

证书申请成功后会提示证书的文件路径,以及证书到期时间:

IMPORTANT NOTES:

- Congratulations! Your certificate and chain have been saved at

/etc/letsencrypt/live/example.com/fullchain.pem. Your cert will

expire on 2018-02-08. To obtain a new version of the certificate in

the future, simply run Let's Encrypt again.

- If you like Let's Encrypt, please consider supporting our work by:

Donating to ISRG / Let's Encrypt:  https://letsencrypt.org/donate

Donating to EFF:                    https://eff.org/donate-le

Nginx 配置

server {
        server_name example.com www.example.com;
        listen 443;
        ssl on;
        ssl_certificate /etc/letsencrypt/live/diamondfsd.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/diamondfsd.com/privkey.pem;

        location / {
           proxy_pass http://localhost:4000;
        }
    }

重启 Nginx 服务就可以使用 https

证书自动更新

Let's Encrypt 提供的证书只有 90 天的有效期,我们必须在证书到期之前,重新获取这些证书。

我们可以在服务器添加一个 crontab 定时任务来处理

crontab -e 

注:如果要执行的脚本需要 root 权限, 那就用 root 用户创建 crontab

添加下面的内容

10 1 * */2 * certbot renew --pre-hook "systemctl stop nginx" --post-hook "systemctl start nginx"

这个 cron 计划,意思是 每隔两个月的凌晨 1:10 执行更新操作。

--pre-hook 这个参数表示执行更新操作之前要做的事情,因为我用的 --standalone 模式的证书,所以需要停止 nginx 服务,解除端口占用。

--post-hook 这个参数表示执行更新操作完成后要做的事情,这里就恢复 nginx 服务的启用。

验证 https

使用 ssllabs 在线测试服务器证书强度及配置正确性

参考扩展

Let's Encrypt 使用教程,免费的SSL证书,让你的网站拥抱 HTTPS


小猿大圣
1.3k 声望49 粉丝

喵星人铲屎官、『海贼王海米答题』小程序开发者