https是未来的趋势,现在来动手一起为自己的网站也添加免费的SSL证书吧!
一、安装Let’s Encrypt客户端
1.首先需要安装git和bc这两个软件,先更新一下服务器软件包管理器,再安装这两个软件
sudo apt-get update
sudo apt-get -y install git bc
2.从github克隆Let’s Encrypt库到服务器的/opt目录下
sudo git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt
二、使用Webroot插件获取SSL证书
Webroot插件会在你的网站目录下创建/.well-known目录,这是用来给Let’s Encrypt做验证的。所以我们需要给这个/.well-known目录授予权限。
1.首先在Nginx的配置文件里面修改权限
location ~ /.well-known {
allow all;
}
2.然后重载Nginx服务器
sudo service nginx reload
3.重头戏来了!我们现在要利用Webroot插件获取一份自己的SSL证书啦
先进入letsencrypt目录,然后制作证书
cd /opt/letsencrypt
./letsencrypt-auto certonly -a webroot --webroot-path=/usr/share/nginx/html -d example.com -d www.example.com
解释一下这段命令
- --webroot-path=这里填写的是你网站的根目录,nginx默认的目录就是/usr/share/nginx/html
- -d后面填的就是你要配置的域名,可以用单一证书配置多个域名(例如example.com与www.example.com)
注意:使用Let’s Encrypt需要superuser权限。
在letsencrypt初始化完毕后,大家将看到一些询问信息。比如
- 填写邮箱邮箱地址以用于接收通知及恢复丢失密钥
- 是否同意Let’s Encrypt的订阅协议
一路同意下去,操作成功后SSL证书就生成好了!
大家的证书与链都已被保存在/etc/letsencrypt/live/example.com/fullchain.pem当中,证书是有有效期的,有效期为90天,未来要获取新的证书版本,只须再次运行Let’s Encrypt即可。
在证书获取完成后,大家将拥有以下几个PEM编码文件:
- cert.pem: 我们的域名证书
- chain.pem: Let’s Encrypt证书链
- fullchain.pem: cert.pem加上chain.pem
- privkey.pem: 证书的专有密钥
4.为了进一步提升安全性,我们还需要生成一个Diffie-Hellman组。生成一个2048位组,我们可使用以下命令:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
整个过程可能需要几分钟,但在完成之后,我们将在/etc/ssl/certs/dhparam.pem当中拥有一个可靠的DH组。
三、在Nginx上配置你的SSL证书
现在我们已经拥有了SSL证书,接下来配置Nginx Web服务器以配置该证书,让域名可以用https访问。
首先编辑你Nginx的配置文件,将监听的80端口去掉,类似去掉这样的代码
listen 80;
server_name xxx.com;
然后我们要让Nginx监听443端口并启用SSL
在配置文件的server { }代码块中添加这样的代码,注意其中的example.com应该是你自己的域名
listen 443 ssl;
server_name example.com www.example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
这样Nginx服务器就能够使用我们之前获取到的Let’s Encrypt SSL证书了。
同时为了提高我们的SSL安全系数,我们要把之前生成的Diffie-Hellman组也添加进来
还是在server { }代码块中添加
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security max-age=15768000;
最后我们要强制把来自http的访问请求转换成https
server{
listen 80;
server_name caozhuo.net;
#永久重定向到 https 站点
return 301 https://$server_name$request_uri;
}
保存退出,之后重载Nginx配置。
到此Let’s Encrypt SSL证书已经部署完毕。现在,大家可以通过HTTPS在浏览器中访问自己的域名以测试SSL证书。
同时你也可以在https://www.ssllabs.com/ssltest/analyze.html中测试我们刚刚配置的SSL证书,应该会获得A+评分。
四、添加自动续约
Let’s Encrypt证书的有效期为90天,不过建议大家每60天更新证书以作为容错空间。不过大家可以运行Let’s Encrypt客户端中的renew选项以进行手动续约。
要对全部已安装域名进行续约进程触发,运行以下命令:
/opt/letsencrypt/letsencrypt-auto renew
由于我们刚刚安装证书,所以此命令只会检查过期数据并输出消息,表明目前没有任何证书需要续约。输出结果应如下所示:
Output:
Checking for new version...
Requesting root privileges to run letsencrypt...
/root/.local/share/letsencrypt/bin/letsencrypt renew
Processing /etc/letsencrypt/renewal/example.com.conf
The following certs are not due for renewal yet:
/etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.
需要注意的是,如果大家将单一证书绑定至多个域名,那么输出结果中将只显示基础域名——不过续约操作将可作用于包含在此证书中的全部有效域名。
另一种确保证书不致过期的特殊方法是创建一个cron任务,并由其定期执行续约命令。由于该续约命令会首先检查证书有效期,并只对有效期不足30天的证书进行续约操作,因此我们可以在创建的cron任务中将执行频率设定为每周甚至每天。
首先编辑crontab以创建一个新任务,本示例计划要求其每周执行续约命令。运行以下命令进行crontab编辑:
sudo crontab -e
添加以下代码
30 2 * * 1 /opt/letsencrypt/letsencrypt-auto renew >> /var/log/le-renew.log
35 2 * * 1 /etc/init.d/nginx reload
保存并退出,重启crontab使配置生效。
service cron restart
这样我们就创建了新的cron任务,其将于每周一2:30 am执行lesencrypt-auto renew命令。该命令所生成的输出结果将被保存在/var/log/le-renewal.log日志文件当中。
五、更新Let’s Encrypt客户端(可选)
当有可用更新时,大家可以利用git pull命令对Let’s Encrypt目录下的本地副本进行更新:
cd /opt/letsencrypt
sudo git pull
全部变更都将被下载至该库,用以更新我们的客户端。
参考资料:http://blog.csdn.net/zstack_org/article/details/53883850