https取代http是大勢所趨，越來越多的網站都改用https了。從16年起，蘋果公司就要求開發者使用https替代http，前期還可以通過調整應用的配置允許http通訊，到後來使用https成了強制要求。
對於個人開發者和小公司而言，很多時候不過是在伺服器進行一些簡單的資料、檔案儲存，對安全性也沒什麼要求，似乎沒有使用https的迫切需要，然而，如果你要釋出iOS應用，就必須支援https，這當然會給開發工作帶來一些麻煩。另一方面，以前使用聯通網路時，瀏覽網頁偶爾就會莫名其妙地出現聯通版iPhone的廣告等，如果以後大家都使用https，運營商就不容易亂放廣告了，呵呵~
搞https就得申請ssl證書，我們可以自己給自己簽發ssl證書，當然，瀏覽器是不承認的，所以還是得找權威機構。賽門鐵克這些公司頒發證書要收保護費，有無免費的呢？現在一些雲伺服器提供商已經可以提供免費的ssl證書，但是必須使用其提供的雲服務，限制比較大，另外發現能夠免費提供ssl證書的機構有startssl和Let’ s Encrypt。
我使用了startssl提供的證書服務，但是好景不長，startssl被360偷偷收購了，和沃通一起，沒有進行收購資訊披露。谷歌、狐狸等要求證書機構在規定日期前更新加密演算法，而startssl和沃通不按規矩辦事，在截至日期之後繼續使用過期的加密演算法，並且作弊把證書籤發日期改到截至日期之前，欺騙大家感情，這一行為最終暴露了，於是蘋果、谷歌、狐狸等移除了startssl和沃通的根證書，相應地，使用他們的證書的網站就不被信任了，至少是一年的時間。
現在只好使用Let’ s Encrypt提供的證書了，Let’ s Encrypt的證書怎麼搞到手呢？轉載一個比較詳細的交錯：
https://blog.itnmg.net/letsencrypt-ssl/
原文作者：IT農民工

Let’ s Encrypt 是一個免費的 SSL/TLS 證書發行機構, 證書有效期為90天, 到期前30內可續期, 實現永久免費.

本次安裝使用的伺服器配置:
DigitaIOcean VPS + CentOS 7 + Nginx 1.9.12

Let’ s Encrypt SSL 證書的的獲取並不是像其他網站一樣, 在頁面上填寫資申請證書, 而是需要在域名所在的伺服器上安裝一個客戶端(python寫的)去獲取證書和續期.

使用 Certbot 客戶端

Certbot 客戶端是現在官方推薦的客戶端

客戶端安裝

yum install certbot

獲取證書

申請過程中要驗證繫結的域名是否屬於申請人, 其原理就是申請人在域名所在的伺服器上申請證書, 然後 Let’ s Encrypt 會訪問繫結的域名與客戶端通訊成功即可通過.

這 個驗證的方法有兩種, 一種需要停止當前的 web server 服務, 讓出 80 埠, 由客戶端內建的 web server 啟動與 Let’ s Encrypt 通訊. 另一種不需要停止當前 web server , 但需要在域名根目錄下建立一個臨時目錄, 並要保證外網通過域名可以訪問這個目錄.

#建立臨時目錄,可能要修改nginx rewrite 規則才能從外網訪問
mkdir -p /usr/share/nginx/html/.well-known/acme-challenge
 
#--webroot 引數:指定使用臨時目錄的方式. -w 引數:指定後面-d 域名所在的根目錄, 如果一次申請多個域的, 可以附加更多 -w...-d... 這段.
certbot certonly --webroot --email 
 
[email protected] -w /usr/share/nginx/html -d blog.itnmg.net -d itnmg.net -d www.itnmg.net

執行此命令後會生成證書, 儲存在 /etc/letsencrypt/live 中對應的域名目錄下面, 其實這裡面並不是真正的證書檔案,而是通過連結的形式鏈到了 /etc/letsencrypt/archive 中對應的域名目錄下.

證書自動續期

renew 引數是官方推薦的續期方式, 使用這個引數會遍歷 /etc/letsencrypt/live 下所有的證書, 如果證書在可續期的時間範圍內(過期前30天內), 就會申請新的證書並替換原有證書, 否則跳過.

#使用 --dry-run 引數測試續期命令, 使用這個引數並不會真正續期證書
certbot renew --dry-run
 
#正式續期證書
certbot renew

設定定時自動續期

可以將 certbot renew 命令加入到 cron 中定時執行

#--quiet 引數表示禁止輸出除了錯誤資訊以外的任何資訊
certbot renew --quiet

nano /etc/crontab

#分 時 日 月 星期 執行使用者 執行命令
0 23 28 * * root certbot renew --quiet && systemctl restart nginx

儲存退出

#載入定時任務, 使之生效
crontab /etc/crontab
 
#檢視任務
crontab -l

使用官方客戶端

客戶端安裝

Let’ s Encrypt 的客戶端託管在 github 上, 每次執行客戶端都會先自動升級, 再執行最新的客戶端, 所以需要安裝 git. 因為是 python 寫的程式, 所以需要安裝 python.

yum install git python

git clone https://github.com/letsencrypt/letsencrypt

cd letsencrypt
./letsencrypt-auto --help

如果沒什麼問題, 會顯示幫助文件.

獲取證書

通過客戶端 web server 獲取證書

#停止nginx
systemctl stop nginx
 
#獲取證書, --standalone 引數:使用內建web server. --email 引數:管理員郵箱,證書到期前會發郵件到此郵箱提醒. -d 引數:要繫結的域名,同一域的不同子域都要輸入.
./letsencrypt-auto certonly --standalone --email [email protected] -d blog.itnmg.net -d itnmg.net -d www.itnmg.net
 
#啟動nginx
systemctl start nginx

通過臨時目錄獲取證書

#建立臨時目錄,可能要修改nginx rewrite 規則才能從外網訪問
mkdir -p /usr/share/nginx/html/.well-known/acme-challenge
 
#--webroot 引數:指定使用臨時目錄的方式. -w 引數:指定後面-d 域名所在的根目錄, 如果一次申請多個域的, 可以附加更多 -w...-d... 這段.
./letsencrypt-auto certonly --webroot --email [email protected] -w /usr/share/nginx/html -d blog.itnmg.net -d itnmg.net -d www.itnmg.net

完成上面的操作即可獲得 SSL 證書, 儲存在 “/etc/letsencrypt/live/根域名/” 目錄下, 會產生 4 個檔案, 其中3個證書檔案, 1個私鑰檔案. 不要移動證書的位置, 以免續期時出現錯誤.

證書自動續期

證書續期的命令如下

./letsencrypt-auto renew

./letsencrypt-auto certonly --webroot --renew-by-default --email [email protected] -w /usr/share/nginx/html -d blog.itnmg.net -d itnmg.net -d www.itnmg.net

最終指令碼如下

#!/bin/sh
#停止 nginx 服務,使用 --standalone 獨立伺服器驗證需要停止當前 web server.
systemctl stop nginx
if ! /path/to/letsencrypt-auto renew -nvv --standalone > /var/log/letsencrypt/renew.log 2>&1 ; then
    echo Automated renewal failed:
    cat /var/log/letsencrypt/renew.log
    exit 1
fi
#啟動 nginx
systemctl start nginx

將這段指令碼儲存為 letsencrypt-renew.sh

新增可執行許可權

chmod +x letsencrypt-renew.sh

nano /etc/crontab

我這裡設定為每月28號23點執行此指令碼.

#分 時 日 月 星期 執行使用者 執行命令
 0 23 28 *  *   root    /指令碼目錄/letsencrypt-renew.sh

儲存退出即可.

配置 Nginx SSL 證書

nano /etc/nginx/conf.d/default.conf

#設定非安全連線永久跳轉到安全連線
server{
    listen 80;
    server_name blog.itnmg.net *.blog.itnmg.net itnmg.net www.itnmg.net;
    #告訴瀏覽器有效期內只准用 https 訪問
    add_header Strict-Transport-Security max-age=15768000;
    #永久重定向到 https 站點
    return 301 https://$server_name$request_uri;
}
server {
    #啟用 https, 使用 http/2 協議, nginx 1.9.11 啟用 http/2 會有bug, 已在 1.9.12 版本中修復.
    listen 443 ssl http2;
    server_name blog.itnmg.net *.blog.itnmg.net itnmg.net www.itnmg.net;
    #告訴瀏覽器當前頁面禁止被frame
    add_header X-Frame-Options DENY;
    #告訴瀏覽器不要猜測mime型別
    add_header X-Content-Type-Options nosniff;
    root /usr/share/nginx/html/wordpress;
 
    #證書路徑
    ssl_certificate /etc/letsencrypt/live/itnmg.net/fullchain.pem;
    #私鑰路徑
    ssl_certificate_key /etc/letsencrypt/live/itnmg.net/privkey.pem;
    #安全連結可選的加密協議
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    #可選的加密演算法,順序很重要,越靠前的優先順序越高.
    ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-RC4-SHA:!ECDHE-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:HIGH:!RC4-SHA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!CBC:!EDH:!kEDH:!PSK:!SRP:!kECDH;
    #在 SSLv3 或 TLSv1 握手過程一般使用客戶端的首選演算法,如果啟用下面的配置,則會使用伺服器端的首選演算法.
    ssl_prefer_server_ciphers on;
    #儲存SSL會話的快取型別和大小
    ssl_session_cache shared:SSL:10m;
    #快取有效期
    ssl_session_timeout 60m;
 
    #省略後面與證書無關的設定
}

#重新載入配置
systemctl reload nginx
#或重啟nginx
systemctl restart nginx

規範頁面中的連結

如果你發現瀏覽器中的安全鎖上帶有歎號, 說明頁面中引用到了非 https 的連結, 你可能要花上一點時間來修改這些連結, 如果是本站資源, 可以使用相對地址, 如果是外部資源, 要先看外部資源是否支援 https, 如果支援改為 https 地址即可,如果不支援則要想辦法替換為 https 資源或將資源儲存到本地並使用相對地址.