Let's Encrypt,站點加密之旅
HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全為目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。
Let's Encrypt,是2016年4月12日成立的一家證書授權中心,提供免費的傳輸層安全(TLS)X.509證書,通過自動化的過程消除目前安全網站證書需要手工建立,加密,簽名,安裝以及更新的複雜性。
一直以來都覺得瀏覽器網址開頭的那把小綠鎖很別緻啊,現在Let's Encrypt橫空出世提供免費證書,說明https勢在必行,那我也來動手給部落格加把鎖吧,看著就安全是吧。
Let's Encrypt 的官網提供的指令碼看起來更加自動化一些,但我沒有親自嘗試,而是在Github上搜到了一個開源指令碼acme-tiny,用下來之後成功將部落格加密完成。
根據acme-tiny提供的說明文件和我自己的實施過程列出以下幾步:
克隆指令碼
sudo git clone https://github.com/diafygi/acme-tiny.git
cd acme-tiny建立Let's Encrypt私鑰
openssl genrsa 4096 > account.key建立CSR(Certificate Signing Request,證書籤名請求) 檔案
ACME協議 (Let's Encrypt所使用的) 需要一個csr檔案,用來進行證書籤名和證書更新。
將需要加密的域名加到下面的程式碼中,目前一張證書最多可以加密 100 個域名:
openssl genrsa 4096 > domain.key
openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yoursite.com,DNS:www.yoursite.com" 證明你擁有該域名
acme-tiny指令碼會生成驗證檔案並寫入到你指定的目錄下,然後通過 ".well-known/acme-challenge/" 這個URL來訪問到驗證檔案. 注意: Let's Encrypt 會對你的伺服器做一次http請求來進行驗證,因此你需要保證80埠能夠訪問.
-
手動生成challenges目錄,用來存放驗證檔案(路徑可以根據需要修改)
mkdir -p /var/www/challenges - 配置nignx的80埠
server {
listen 80;
server_name yoursite.com www.yoursite.com;
return 301 https://yoursite.com$request_uri; # 注意進行301重定向到https,否則通過http仍能訪問你的站點
location /.well-known/acme-challenge/ {
alias /var/www/challenges/;
try_files $uri =404;
}
#...你的其他配置
}獲取簽名證書
sudo chmod +x acme_tiny.py
python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /var/www/challenges/ > ./signed.crt安裝證書
針對nginx, 你還需要將 Let's Encrypt 的中介軟體證書 intermediate.pem 內容附加在簽名證書signed.crt之後:
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
server {
listen 443;
server_name yoursite.com, www.yoursite.com;
ssl on;
ssl_certificate /path/to/chained.pem;
ssl_certificate_key /path/to/domain.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
ssl_session_cache shared:SSL:50m;
ssl_prefer_server_ciphers on;
#...你的其他配置
}證書自動更新定時任務
恭喜!你的網站已經使用上了HTTPS。 但Let's Encrypt 證書有效期只有90天, 所以需要定期更新。現在只需要寫一個更新指令碼並把它放到定時任務中即可。
指令碼內容:
#!/usr/bin/sh
python /path/to/acme_tiny.py --account-key /path/to/account.key --csr /path/to/domain.csr --acme-dir /var/www/challenges/ > /tmp/signed.crt || exit
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat /tmp/signed.crt intermediate.pem > /path/to/chained.pem
service nginx reload
定時任務可以設定為每個月執行一次:0 0 1 * * /path/to/renew_cert.sh 2>> /var/log/acme_tiny.log