为你的站点免费升级至 HTTPS 协议

本文记录了利用 Let’s Encrypt,免费全站开启 HTTPS 协议。

关于HTTPS

HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
HTTPS优势:安全传输,有效阻止运营商劫持并注入广告,以及提供 HTTP/2 协议的支持,详情自行 Google

关于免费证书发放机构

Let’s Encrypt,是2016年4月12日成立的一家证书授权中心,提供免费的传输层安全(TLS)X.509证书,通过自动化的过程消除目前安全网站证书需要手工创建,加密,签名,安装以及更新的复杂性。

开启 HTTPS 操作步骤如下 ↓

Let’s Encrypt 的官网提供了更为自动化的脚本,但本文借鉴的是作者:Macken 提供的方法,采用Github上的一个开源脚本acme-tiny。
本文基于社区企业操作系统CentOS和高性能的HTTP和反向代理服务器Nginx,其他Linux版本理论上是可行的,但未尝试。

克隆脚本

➜ ~ sudo git clone https://github.com/diafygi/acme-tiny.git
➜ ~ cd acme-tiny // 下面的操作都在这个目录!

创建Let’s Encrypt私钥

➜ ~ openssl genrsa 4096 > account.key

创建CSR(Certificate Signing Request,证书签名请求) 文件

ACME协议 (Let’s Encrypt所使用的) 需要一个csr文件,用来进行证书签名和证书更新。

将需要加密的域名加到下面的代码中,目前一张证书最多可以加密 100 个域名,足够普通用户使用:

// acme-tiny 目录执行
➜ ~ openssl genrsa 4096 > domain.key
➜ ~ openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:jandou.com,DNS:www.jandou.com")) > domain.csr
//
注意:openssl.cnf 文件的位置可能会因为linux版本的不同而有变,自行搜索得到路径 >>tips

证明你拥有该域名

acme-tiny脚本会生成验证文件并写入到你指定的目录下,然后通过 “.well-known/acme-challenge/“ 这个URL来访问到验证文件。

注意:Let’s Encrypt 会对你的服务器做一次http请求来进行验证,因此你需要保证80端口能够访问。
  • 手动生成challenges目录,用来存放验证文件(路径可以根据需要修改)

    ➜ ~ mkdir -p /var/www/challenges
  • 配置nignx的80端口

    修改 Nginx 默认配置 /usr/local/nginx/conf/nginx.conf 中的server段,注意备份:

    server {
    listen 80;
    server_name jandou.com www.jandou.com;
    location /.well-known/acme-challenge/ {
    alias /var/www/challenges/;
    try_files $uri =404;
    }
    }

暂时清除虚拟主机配置

暂时清除虚拟主机配置,避免下一步获取签名证书 Download失败。

注意:先备份,再删除/usr/local/nginx/conf/vhost/下的虚拟配置。

获取签名证书

// acme-tiny 目录执行
➜ ~ sudo chmod +x acme_tiny.py
➜ ~ python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /var/www/challenges/ > ./signed.crt
注意:如果下载出错,则是Nginx的默认配置有误,或虚拟主机配置冲突导致。

安装证书

针对nginx, 你还需要将 Let’s Encrypt 的中间件证书 intermediate.pem 内容附加在签名证书signed.crt之后:

// acme-tiny 目录执行
➜ ~ wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
➜ ~ cat signed.crt intermediate.pem > chained.pem

成功之后,恢复 Nginx 默认配置和虚拟主机配置,并重启 Nginx

➜ ~ lnmp reload // lnmp系列软件全部重载
➜ ~ service nginx reload // 仅重启 `Nginx`

恭喜!你的网站已经使用上了HTTPS。 但Let’s Encrypt 证书有效期只有90天, 所以需要定期更新。现在只需要写一个更新脚本并把它放到定时任务中即可 >> tips

Tips

  • 搜索文件技巧

    //根目录搜索`nginx.conf`
    find / -name 'nginx.conf'
  • 证书自动更新定时任务

    脚本renew_cert.sh负责一键更新,我将其存放在 root 目录下,脚本内容:

    !/usr/bin/sh
    python /root/openssl/acme-tiny/acme_tiny.py --account-key /root/openssl/acme-tiny/account.key --csr /root/openssl/acme-tiny/domain.csr --acme-dir /var/www/challenges/ > /tmp/signed.crt || exit
    wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
    cat /tmp/signed.crt intermediate.pem > /root/openssl/acme-tiny/chained.pem
    service nginx reload

    定时任务可以设置为每个月执行一次:

    ➜ ~ 0 0 1 * * sudo bash /path/to/renew_cert.sh 2>> /var/log/acme_tiny.log

    如果没有定时更新,可以直接执行该脚本. renew_cert.sh

    可能 Download 失败,参考上面配置nignx的80端口,修改 Nginx 默认配置。

参考

鸣谢:Let’s Encrypt,站点加密之旅 laravel-china.org (如遇到问题可参考该链接下的讨论)
原稿:Let’s Encrypt,站点加密之旅

坚持原创技术分享,您的支持将鼓励我继续创作!