2. 程式人生 > >手把手教你搭建基於 Let’s Encrypt 的免費 HTTPS 證書

手把手教你搭建基於 Let’s Encrypt 的免費 HTTPS 證書

阿新 發佈:2019-02-01

作者:劉剛,叩丁狼高階講師。原創文章,轉載請註明出處。

Let’s Encrypt 是國外一個公共的免費 SSL 專案,該專案是為了普及 HTTPS 而發起的,目前已經被 Mozilla、Google、Microsoft 和 Apple 等主流瀏覽器支援,對 HTTPS 技術的普及有著巨大貢獻。隨著 HTTPS 的普及,Let’s Encrypt 已經成為全球最受歡迎的免費 SSL 證書籤發機構。

注意事項

  • Let’s Encrypt 的基礎證書只提供了資料加密,不驗證身份,從而也無法證明網站的所有者,雖然已經滿足絕大部分應用場景,但若涉及核心功能時還是需要進行身份驗證。
  • Let’s Encrypt 簽發的證書一次的有效期為 3 個月,需要定期更新證書(官方推薦兩個月左右更新一次,本文有提供自動更新方案)。

安裝 EPEL 倉庫

Let’s Encrypt 的簽發證書工具在 EPEL 倉庫中才能找到,所以如果沒有安裝 EPEL 倉庫的話要先安裝一下。

# 查詢是否已安裝 epel 倉庫
rpm -qa epel-release
# 若沒有安裝再安裝 epel 倉庫
sudo yum install -y epel-release

安裝簽發證書工具

用 Certbot 工具申請 Let’s Encrypt 證書,要先安裝該工具:

sudo yum install certbot-nginx

如果報以下錯誤:

ImportError:No module named 'requests.packages.urllib3'

執行以下命令解決:

# 如果沒有 pip 可使用 `sudo yum install python-pip` 安裝
pip install --upgrade --force-reinstall 'requests==3.6.0' urllib3

網站執行在申請 SSL 證書的伺服器上

這邊將申請證書分為兩種情況,正常情況下我們使用第一種就好了,也就是網站執行在申請 SSL 證書的伺服器上。另外就是比如在 A 機器上申請證書,但網站執行在 B 機器上,當然如果你是用 Docker 跑的 Nginx 也得用第二種方式。

第一種方式有以下幾個條件:

i. 你要申請 SSL 證書的域名已經指向到申請證書伺服器的 ip
ii. 你的 Web 伺服器需要使用 Nginx(在本例子中,可以在官網檢視其它伺服器的方式)
iii. Nginx 配置完成,並且已經綁定了你要申請 SSL 證書的域名

具備以上條件,就可以執行以下操作啦:

# 申請 SSL 證書,certonly 表示只生成證書,不做額外操作
sudo certbot --nginx certonly

certbot 會自動查詢當前 Nginx 上的虛擬主機,並提示:

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org

Which names would you like to activate HTTPS for?
-------------------------------------------------------------------------------
1: xxx.wolfcode.cn
-------------------------------------------------------------------------------
Select the appropriate numbers separated by commas and/or     spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 1

如果出現以下錯誤:

# Saving debug log to /var/log/letsencrypt/letsencrypt.log
# The nginx plugin is not working; there may be problems with your existing configuration.
# The error was: NoInstallationError()

可能是因為找不到 nginx 命令,解決方案:

# 以下命令是分別將 nginx 安裝目錄的 nginx 命令與配置檔案軟連線到指定檔案
# 你可以根據自己的具體情況修改目錄
ln -s /usr/local/nginx/sbin/nginx /usr/bin/nginx
ln -s /usr/local/nginx/conf /etc/nginx

還有可能提示無法連線到你的伺服器,主要要開放防火牆的 443 埠
看到前面正確提示,出現我的 Nginx 上繫結的一個域名,如果你的 Nginx 有繫結多個,那麼列表中也會以多個顯示,然後輸入你需要申請 SSL 證書對應域名的序號即可,驗證成功後 Let’s Encrypt 就會立即給你簽發 SSL 證書,成功後提示:

# Obtaining a new certificate
# Performing the following challenges:
# tls-sni-01 challenge for g.wangchujiang.com
# Waiting for verification...
# Cleaning up challenges
# 
# IMPORTANT NOTES:
#  - Congratulations! Your certificate and chain have been saved at:
#    /etc/letsencrypt/live/xxx.wolfcode.cn/fullchain.pem
#    Your key file has been saved at:
#    /etc/letsencrypt/live/xxx.wolfcode.cn/privkey.pem
#    Your cert will expire on 2018-03-29. To obtain a new or tweaked
#    version of this certificate in the future, simply run certbot
#    again. To non-interactively renew *all* of your certificates, run
#    "certbot renew"
#  - If you like Certbot, please consider supporting our work by:
# 
#    Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
#    Donating to EFF:                    https://eff.org/donate-le

以上資訊則表示證書生成成功了。其他資訊主要是告訴你證書存放的位置、過期時間以及更新證書命令:

# 證書位置
/etc/letsencrypt/live/xxx.wolfcode.cn/fullchain.pem
/etc/letsencrypt/live/xxx.wolfcode.cn/privkey.pem
# 過期時間:Your cert will expire on 2018-06-19.
# 你的證書將在 2018-06-19 過期
# 可以使用如下命令更新證書有效期
certbot renew --dry-run

配置 Nginx,讓所有 HTTP 請求轉發到 HTTPS:

# 將 http 請求轉發到 https
server {
    listen       80;
    server_name  xxx.wolfcode.cn;
    rewrite     ^(.*)$ https://$host$1 permanent;
    # 禁止在 heaader 中出現伺服器版本,防止黑客利用版本漏洞攻擊
    server_tokens off;
}

# https 的配置
server {
    listen     443 ssl;
    server_name     xxx.wolfcode.cn;

    ssl_certificate    /etc/letsencrypt/live/xxx.wolfcode.cn/fullchain.pem;
    ssl_certificate_key    /etc/letsencrypt/live/xxx.wolfcode.cn/privkey.pem;
    # 禁止在 heaader 中出現伺服器版本,防止黑客利用版本漏洞攻擊
    server_tokens    off;
    # 設定ssl/tls會話快取的型別和大小。如果設定了這個引數一般是shared,buildin可能會引數記憶體碎片,預設是none,和off差不多,停用快取。如shared:SSL:10m表示我所有的nginx工作程序共享ssl會話快取,官網介紹說1M可以存放約4000個sessions。
    ssl_session_cache    shared:SSL:1m;


    # 客戶端可以重用會話快取中ssl引數的過期時間,內網系統預設5分鐘太短了,可以設成30m即30分鐘甚至4h。
    ssl_session_timeout  5m;

    # 選擇加密套件,不同的瀏覽器所支援的套件(和順序)可能會不同。
    # 這裡指定的是OpenSSL庫能夠識別的寫法,你可以通過 openssl -v cipher 'RC4:HIGH:!aNULL:!MD5'(後面是你所指定的套件加密演算法) 來看所支援演算法。
    ssl_ciphers  HIGH:!aNULL:!MD5;

    # 設定協商加密演算法時,優先使用我們服務端的加密套件,而不是客戶端瀏覽器的加密套件。
    ssl_prefer_server_ciphers  on;

    location / {
        root   /www/html/website;
        index  dist/index.html;
    }

    error_page     404    /404.html;
    location = /404.html {
    root    html;
    }

    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   html;
    }
}

到此就配置完成啦,使用 HTTPS 訪問看看吧。

網站執行在申請 SSL 證書以外的伺服器上

為其他主機上的網站或 Docker 中的網站申請 SSL 證書,只需要多一步驗證即可:

# 申請證書
# certonly 只生成證書,不做額外操作
# --manual 互動式操作,也就是追加驗證條件
sudo certbot certonly --manual

提示讓你輸入想要申請證書的域名

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Please enter in your domain name(s) (comma and/or space separated)  (Enter 'c'
to cancel): xxx.wolfcode.cn

接著會提示需要記錄你申請 SSL 證書域名對應伺服器的 IP,問你是否同意:

Obtaining a new certificate
Performing the following challenges:
http-01 challenge for ninghao.net

-------------------------------------------------------------------------------
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.

Are you OK with your IP being logged?
-------------------------------------------------------------------------------
(Y)es/(N)o: Y

然後會給一個字串,讓你將字元內容儲存在一個檔案內,並可以通過它所指定的 URL 進行訪問,cretbot 會對該 URL 進行校驗

-------------------------------------------------------------------------------
Create a file containing just this data:

HNIVXWGNL99iXcy5zI9OwSZmugf0xnv786nw5HchlJ4.n3Pm5l0vxnRwAslvOBBkXT1rGGJ7AwbTnaSCsSiQJFc

And make it available on your web server at this URL:

http://wolfcode.cn/.well-known/acme-challenge/HNIVXWGNL99iXcy5zI9OwSZmugf0xnv786nw5HchlJ4

-------------------------------------------------------------------------------
Press Enter to Continue

比如我這個,則可以在 website 根目錄建立:

# 建立驗證資料夾
mkdir -p /yourwebsite/.well-known/acme-challenge/
# 進入該資料夾
cd /yourwebsite/.well-known/acme-challenge/
# 建立檔案(以下兩部內容請修改為你自己的資料)
touch HNIVXWGNL99iXcy5zI9OwSZmugf0xnv786nw5HchlJ4
# 將提示資訊寫入檔案
echo "HNIVXWGNL99iXcy5zI9OwSZmugf0xnv786nw5HchlJ4.n3Pm5l0vxnRwAslvOBBkXT1rGGJ7AwbTnaSCsSiQJFc" > HNIVXWGNL99iXcy5zI9OwSZmugf0xnv786nw5HchlJ4

驗證通過之後便會簽發證書:

Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/wolfcode.cn/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/wolfcode.cn/privkey.pem
   Your cert will expire on 2018-03-29. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

到此證書申請便完成了,Nginx 配置可以參考上面的配置

新增定時任務完成自動更新

現在證書申請、配置都已經完成了,並且也可以正常訪問,但還有個小問題就是 Let’s Encrypt 簽發的證書只有 90 天的有效期,到期後需要再更新,此時便可以使用到 linux 上的 crontab 工具來定時幫我們完成更新操作
certbot 為我們提供了很方便的更新方式,你只需要執行如下命令:

# 更新所有證書
sudo certbot renew --dry-run
使用以上命令便可以將所有證書更新,那麼此時我們可以新增一個定時任務來完成這一操作:
# 進入定時任務存放目錄
cd /etc/cron.d
# 將指令碼寫入檔案,該指令碼是每 2 個月的 20 號凌晨 2:15 執行一次
echo "15 2 20 */2 * certbot renew --dry-run" > certbot-auto-renew-cron
# 將指令碼加入到 crontab
crontab certbot-auto-renew-cron

至此,SSL 證書就算徹底完成啦。


相關推薦

手把手搭建基於 Lets Encrypt免費 HTTPS 證書

作者:劉剛,叩丁狼高階講師。原創文章,轉載請註明出處。Let’s Encrypt 是國外一個公共的免費 SSL 專案,該專案是為了普及 HTTPS 而發起的,目前已經被 Mozilla、Google、Microsoft 和 Apple 等主流瀏覽器支援,對 HTTPS 技術的

手把手搭建基於 MarkDown 的 Wiki 系統

1 準備資源 http 伺服器(應用伺服器也可以,之所以需要應用伺服器,因為 mdwiki 必須放在 http 伺服器下執行。 ) 以上資源,請先自行下載好 O(∩_∩)O~。 2 建立中文環境 mdwiki 基礎包結構: 把專案資料夾

想將演算法進一步開發嗎?手把手搭建基於CNN模型的Flask Web應用

對於機器學習和人工智慧研究人員而言,好多人都只是構建好模型後就沒有進一步處理了,停留在一個比較粗糙的模型上面,沒有將其變成一個產品,其實好多創業型人工智慧公司都是設計好模型後,將其轉化成產品,之後再推向市場。每一個深度學習研究者心中或多或少都想成為一名創業者,但不知道超哪個方

廬山真面目之十一微服務架構手把手搭建基於Jenkins的企業級CI/CD環境

                廬山真面目之十一微服務架構手把手教你搭建基於Jenkins的企業級CI/CD環境 一、介紹       說起微服務架構來,有一個環節是少不了的,那就是CI/CD持續整合的環境。當然,搭建CI/CD環境的工具很多,但是有一個工具它卻是出類拔萃,是搭建持續整合環境的首選,它就是J

HawkHost主機cPanel面板快速安裝Lets Encrypt免費SSL證書

HawkHost主機 老鷹主機 虛擬主機 如今我們越來越多的網站需要使用到SSL安全證書,尤其是我們做電商業務的網站,一來可以確保用戶信息的安全,二來可以增加用戶的安全意識識別,三來外貿類網站一般在谷歌中的排名優勢如果有SSL證書還是有一定的加分的。如果我們有使用HawkHost老鷹主機虛擬

Lets Encrypt 免費 HTTPS 憑證

之前架設的 WordPress 只有 http 沒有https, 沒想到居然可以超簡單地就申請好多個 https在同一臺主機。 CertBot真的是很棒的一個網站,會依照不同的作業系統給不同的指令。CertBot滿厲害的,不帶引數,他也可以猜到要產生的domain name,我是透過下面的指令,可以一次加

Let's Encrypt免費SSL證書的申請及使用-Windows-Tomcat版

執行環境:      作業系統: windows server 2012 R2      JAVA: jdk1.7.0_17      Tomcat: Tomcat 7 筆者使用的是一臺 windows 測試機,上面單獨執行的 Tomcat  並且已完成域名解析。

NGINX + Let's encrypt免費SSL證書

安裝與配置過程不算複雜:1、安裝openssl和certbotsudo apt-get install openssl ssl-cert sudo apt-get install python-certbot-nginx -t stretch-backports2、生成DH引

Windows伺服器上完成Lets Encrypt免費SSL證書的自動化更新部署(apache)

Let’s Encrypt是一家致力於推動網站SSL加密普及的公益組織,受到眾多廠商的支援。其證書有效期為3個月,但是由於免費加上可以使用API完成自動化更新部署,受到眾多站長青睞。證書申請流程:下載W

手把手搭建一個基於Java的分散式爬蟲系統

在不用爬蟲框架的情況下,我經過多方學習,嘗試實現了一個分散式爬蟲系統,並且可以將資料儲存到不同地方,類似 MySQL、HBase 等。 因為此係統基於面向介面的編碼思想來開發,所以具有一定的擴充套件性,有興趣的朋友直接看一下程式碼,就能理解其設計思想。 雖然程式碼目前

大數據江湖之即席查詢與分析(下篇)--手把手搭建即席查詢與分析Demo

dmi 安裝centos 用戶 author sla repo 相關 中文 plugin 上篇小弟分享了幾個“即席查詢與分析”的典型案例,引起了不少共鳴,好多小夥伴迫不及待地追問我們:說好的“手把手教你搭建即席查詢與分析Demo”啥時候能出?說到就得做到,差啥不能差

[轉]手把手搭建Hive Web環境

方式 啟動 list apach pre 手動 cli 找不到 interface 了解Hive的都知道Hive有三種使用方式——CLI命令行,HWI(hie web interface)瀏覽器 以及 Thrift客戶端連接方式。 為了體驗

0基礎手把手搭建webpack運行打包項目(未完待續)

蘊含 必須 asc 工具 過程 更多 關系圖 本地服務 spa   這些天在項目之余的時間學習了webpack打包項目的東西,非常榮幸的找到一些大神的文章來學習,死勁嚼了幾天,終於略知一二。在以後的工作上還需繼續學習,下面我將分享我這幾天學到的一點東西,希望能讓我一個還不算

2018年最新手把手搭建中小型互聯網公司後臺服務架構與運維架構

前端 詳細 token 使用詳解 restful jedis 以及 tom mvc 本課程主要是針對如何從無到有搭建中小型互聯網公司後臺服務架構和運維架構的課程,課程所涉及的內容均是當前應用最廣泛的技術和工具。本課程所講解的技術體系已經在多個中小型互聯網公司中實戰運行使用,

centos7手把手搭建zabbix監控

centos7手把手教你搭建zabbixCentos7安裝部署zabbix3.4centos系統版本: 1、安裝前需要先關閉selinux和firewall.1.1[root@zabbix ~]# vi /etc/selinux/config 將SELINUX=enforcing改為SELINUX=disa

手把手搭建一個加密貨幣交易模擬器,不用投錢就能玩

box NPU nec idp reat 監控 最簡 data- 自己 手把手教你搭建一個加密貨幣交易模擬器,不用投錢就能玩 大數據文摘,編譯:汪小七、黃文暢、小魚 我雖然不是交易員,但對加密貨幣的交易非常感興趣。然而,我不會在自己什麽都不清楚的時候就盲目投

手把手搭建HEXO免費博客

默認 鏡像 教程 環境 生成密鑰 文本 註冊 工具 即使 一、環境搭建 node安裝 百度搜索node,進入官網。下載穩定版: 下載好後直接打開安裝 我這裏將其安裝在D盤(可以自己選擇安裝位置) 可以看到安裝包中已經自帶n

手把手搭建 Selenuim 自動化環境

提示 for ESS down bmi dem def import docs 看完這篇文章,你將學到如何在 Windows 上搭建基本的 Selenium 自動化環境。 1.本次使用的系統環境是最新的 Windows 10 17134 系統; 2.本次使用的 Python

手把手搭建React Native 開發環境 - ios篇 (React [email&#

由於之前我是h5的,沒接觸過ios和安卓, 也不瞭解xcode配置,所以 建議學reace-native之前還是先去了解一下ios和安卓開發環境搭建等問題。 環境下載及配置 nodejs:https://nodejs.org/en/download/ 設定淘寶映象 $ npm con

手把手搭建 vue 環境

out ash npm ctr ref cli href http 沒有 第一步 node環境安裝 1.1 如果本機沒有安裝node運行環境,請下載node 安裝包進行安裝1.2 如果本機已經安裝node的運行換,請更新至最新的node 版本下載地址:https://no