2017年1月1日起,苹果强制所有 app 满足 HTTPS,即 iOS9 推出的 App Transport Security (ATS) 特性。
新浪微博最近推消息要求合作方提供https的链接;所以支持HTTPS势不可挡啊
letsencrypt是一个提供开源免费自动证书授权服务的网站;使用letsencrypt提供的证书在站点安装完成后,在chrome下查看颁发的证书信息如下:
安装letsencrypt的证书过程主要参考文章 Let's Encrypt,站点加密之旅使用acme-tiny脚本进行部署;原文对在APACHE下的部署有描述不清的地方,后面详细说明下;
获取证书前的准备:
克隆脚本、创建Let's Encrypt私钥、创建CSR文件等主要过程命令
git clone https://github.com/diafygi/acme-tiny.git
cd acme-tiny
chmod +x acme_tiny.py
openssl genrsa 4096 > account.key
openssl genrsa 4096 > domain.key
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
// 将需要加密的域名加到下面的代码中,目前一张证书最多可以加密 100 个域名:
// 注意: abc.com 和 www.abc.com 是两个域名
// acme-tiny脚本会对列出的所有域名进行验证;所以按需配置
openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yoursite.com,DNS:www.yoursite.com")) > domain.csr
获取签名证书:
acme-tiny脚本会生成验证文件并写入到你指定的目录下,然后通过http来访问 ".well-known/acme-challenge/" 这个URL来访问验证文件,以证明你对该域名有访问权限,因此你需要保证服务器80端口能够访问.并且能够通过认证。
如果站点提供的是静态服务,则需要将文件生成到文档根目录下.well-known/acme-challenge/子目录中,或者修改apache的rewrite规则来通过验证;
如果是动态服务器,需要响应".well-known/acme-challenge"并回写文件内容;
使用RAILS服务可以修改config文件和application_controller.rb响应:
# --routes.rb
# for Let's Encrypt auth
get ".well-known/acme-challenge/:file" => "application#acmeauth"
# --application_controller.rb
# for Let's Encrypt auth
def acmeauth
file = Pathname.new('/var/www/acme-tiny-challenges').join(params[:file])
render text: File.read(file) and return if File.exist?(file)
render text:""
end
获取签名证书(请修改命令里面的的acme-dir参数):
python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /var/www/challenges/ > ./signed.crt
cat signed.crt intermediate.pem > chained.pem
安装证书(apache2);
nginx下安装证书请访问文章 Let's Encrypt,站点加密之旅
server {
listen 443;
server_name yoursite.com www.yoursite.com;
ssl on;
ssl_certificate /path/to/chained.pem;
ssl_certificate_key /path/to/domain.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
ssl_session_cache shared:SSL:50m;
ssl_prefer_server_ciphers on;
#...你的其他配置
}
修改下面配置中的SSLCertificateFile和SSLCertificateKeyFile字段即可
DocumentRoot /var/www/abc/public
Options Indexes FollowSymLinks MultiViews
AllowOverride all
Order allow,deny
allow from all
...
SSLEngine on
SSLCertificateFile .../acme-tiny/chained.pem
SSLCertificateKeyFile .../acme-tiny/domain.key
...
修改http访问(可选)
如果需要将所有http的访问改成https访问;则需修改 .htaccess 文件配置301重定向:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
此时重启APACHE2服务,网站已经可以支持HTTPS访问;
检测是否完全支持ATS
腾讯云提供了苹果ATS检测; 部署完成后可以使用该服务检测下;
检查通过~
自动更新
Let's Encrypt 证书有效期只有90天, 所以需要写一个更新脚本renew_cert.sh,并定时执行。
#!/usr/bin/sh
python /path/to/acme_tiny.py --account-key /path/to/account.key --csr /path/to/domain.csr --acme-dir /var/www/challenges/ > /tmp/signed.crt || exit
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat /tmp/signed.crt intermediate.pem > /path/to/chained.pem
service apache2 reload
定时任务可以设置为每个月执行一次:
0 0 1 * * /path/to/renew_cert.sh 2>> /var/log/acme_tiny.log
参考链接:
Let’s Encrypt
腾讯云苹果ATS检测
原文