Pandorabox路由器申請Let's Encrypt證書，為內網web服務提供SSL支援

阿新 • • 發佈：2020-03-01

對於家中寬頻有公網IP的使用者，有時我們需要將路由器內部網路的某些web服務通過埠轉發暴露到外網（例如NAS遠端訪問），但HTTP是明文傳輸，有被監聽的風險；如果在NAS上使用自簽名證書，再埠轉發，會被Chrome瀏覽器認為是風險連線拒絕訪問（筆者使用80.0.3987版本，命令列引數啟動、系統新增證書信任法均不能通過）；使用某些NAS自帶的Let's Encrypt外掛申請到的證書，也只能為NAS單獨一個服務新增HTTPS。本文將介紹如何在路由器上安裝NGINX並部署SSL，反向代理內網中的多個HTTP服務。

要求

一個域名，無須備案；路由器有公網IP，路由器為Pandorabox韌體（理論上基於openwrt的韌體都可以）；軟體源已更至最新。

截至2020.03，可用的Pandorabox軟體源地址為http://downloads.pangubox.com:6380/pandorabox

比如我的路由器為newifiD1，配置資訊則為

src/gz 18.10_base http://downloads.pangubox.com:6380/pandorabox/18.10/packages/mipsel_1004kc_dsp/base
src/gz 18.10_lafite http://downloads.pangubox.com:6380/pandorabox/18.10/packages/mipsel_1004kc_dsp/lafite
src/gz 18.10_luci http://downloads.pangubox.com:6380/pandorabox/18.10/packages/mipsel_1004kc_dsp/luci

src/gz 18.10_mtkdrv http://downloads.pangubox.com:6380/pandorabox/18.10/packages/mipsel_1004kc_dsp/mtkdrv
src/gz 18.10_newifi http://downloads.pangubox.com:6380/pandorabox/18.10/packages/mipsel_1004kc_dsp/newifi
src/gz 18.10_packages http://downloads.pangubox.com:6380/pandorabox/18.10/packages/mipsel_1004kc_dsp/packages

安裝NGINX和acme

nginx在pandorabox的web管理介面或命令列opkg install nginx 安裝均可，acme按照官方說明安裝、執行，但之前還需再安裝幾個包：curl wget ca-certificates openssl-util ca-bundle socat

ca-bundle是一堆打包的CA根證書，pandorabox預設不包含任何CA根證書，所以無法建立任何SSL連線。socat在acme的部分功能裡會用到，最好安裝。

安裝過程還有幾個地方需要注意：

1. 安裝nginx後會報啟動失敗，埠被佔用，這是正常的，因為80埠已經被路由器Web管理介面（uhttpd服務）佔用了，之後我們會改nginx配置檔案。

2. 使用http驗證，注意uhttp的預設網站根目錄是/www，並需在防火牆中開啟80埠，如果運營商遮蔽了80埠，那http根目錄驗證無法使用，但可以用standalone模式指定其他埠驗證。比如使用88埠，先在防火牆中開啟88埠，然後驗證命令為：

acme.sh --issue -d example.com --standalone --httpport 88

如果使用nginx自動驗證，要確保nginx已經正確執行，這需要配置uhttpd埠與nginx不衝突，以及防火牆，不建議使用。

3. 使用dns驗證，無需在路由器上做任何配置，建議使用acme的自動txt記錄新增功能

4. 拷貝證書可以用acme的拷貝命令，但需做修改如下

acme.sh --installcert -d example.com \
--key-file       /etc/nginx/key.pem  \
--fullchain-file /etc/nginx/cert.pem
# --reloadcmd     "service nginx force-reload" 不要新增這句

配置Nginx

至此證書已經獲取完畢，接下來在nginx中配置。假設我們內網的兩個web服務地址分別為http://192.168.0.100, http://192.168.0.102/test

user nobody nogroup;
worker_processes  1;

#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       mime.types;
    #default_type  application/octet-stream;

    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"';

    #access_log  logs/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    client_body_timeout 3600;               
    client_header_timeout 1800;             
    keepalive_timeout 15;                   
    send_timeout 3600; 

    gzip  on;

    server {
        listen       443 ssl;  #不方便使用443埠可更換其他埠
        server_name  example.com;

        charset utf-8;
        ssl_certificate    cert.pem; #注意這裡兩個檔案不要寫反了
        ssl_certificate_key  key.pem;
        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout 5m;  
        ssl_prefer_server_ciphers on; 
        #access_log  logs/host.access.log  main;

        #error_page  404              /404.html;
        proxy_connect_timeout 180;
        proxy_send_timeout 180;
        proxy_read_timeout 180;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarder-For $remote_addr;
 
        location /servertest {
            proxy_pass http://192.168.0.102/test;
            proxy_redirect default;  #nginx伺服器不做快取，所有請求都轉發到目標伺服器進行處理
            proxy_buffering off;
        } 
        location /server1 {                       
            proxy_pass http://192.168.0.100;
            # 不做配置，nginx會對內容進行快取，速度有些許提升，但可能遭遇超時問題
        }   
    
        location ~ //.ht {
            deny all;
        }
        
        #error_page   500 502 503 504  /50x.html;
        #location = /50x.html {
        #    root   html;
        #}


    }
}

Nginx配置檔案

重啟nginx服務：/etc/init.d/nginx restart

如果沒有錯誤資訊輸出，防火牆的相應埠已經開啟，則訪問https://example.com/server1和https://example.com/servertest（如果指定非443埠需加上埠號），發現服務已經執行在ssl之上了。更多服務只需設定更多子目錄轉發即可。

注意

1. 理論上到nginx配置之前都可以在內網主機上進行，最終只要手動拷貝生成的兩個證書檔案到路由器/etc/nginx目錄即可，但在證書驗證環節就需要埠轉發，或者用dns驗證。

2. 即使路由器不支援安裝nginx，也可以在內網主機上安裝nginx，然後把此主機設為DMZ或者用埠對映的方式暴露出來，效果是一樣的，具體步驟不再贅述。

3. SSL對路由器效能開銷不小，筆者的newifiD1在測試大檔案下載時速度要比HTTP降低一半左右，且路由器負載跑滿，有條件應使用高配路由器。

Pandorabox路由器申請Let's Encrypt證書，為內網web服務提供SSL支援

要求

配置Nginx

注意

Pandorabox路由器申請Let's Encrypt證書，為內網web服務提供SSL支援

申請Let's Encrypt免費SSL證書

windows server2008R2申請免費let's encrypt證書

centos+nginx申請Let's Encrypt 通配符HTTPS證書

實戰申請Let's Encrypt永久免費SSL證書過程教程及常見問題

免費證書申請——Let's Encrypt的申請與應用（IIS，Tomcat）

網站實現https 申請Let's Encrypt永久免費SSL證書

申請Let's Encrypt泛域名免費證書（無需域名80埠）

在Ubuntu使用 Let's Encrypt 證書部署 HTTPS的方法

教你如何在let's encrypt申請免費證書---開啟網站的https之路

Let's Encrypt免費通配符 SSL 證書申請教程

Let's Encrypt 通配符證書申請

申請免費通配符證書(Let's Encrypt)並綁定IIS（轉載）

Let's Encrypt 免費萬用字元 SSL 證書申請教程——但是也需要email，域名所有權等，如果是黑產用的話會這樣用嗎？會不會暴露自己身份？？？

Let's Encrypt 免費通配符 SSL 證書申請教程——但是也需要email，域名所有權等，如果是黑產用的話會這樣用嗎？會不會暴露自己身份？？？

Let's encrypt申請泛域名證書

Let's Encrypt SSL證書申請

let's encrypt生成免費https證書 ubuntu+tomcat+nginx+let's encrypt

windows server 服務器添加免費域名證書的方法(Let's Encrypt)

windows server使用 LetsEncrypt-Win-Simple來安裝和使用用Let's Encrypt免費SSL證書

Pandorabox路由器申請Let's Encrypt證書，為內網web服務提供SSL支援

要求

配置Nginx

注意

相關推薦