生成https_免费证书

HTTPS证书配置

首先采用的是Let’s Encrypt颁发的免费证书，其次我是使用acme.sh配置的，这里主要说一下acme.sh的安装以及使用。

1.安装
官方方法使用如下命令即可：

curl https://get.acme.sh | SH

要么：

wget -O  -  https://get.acme.sh | SH

或者，从git安装

git clone https://github.com/Neilpang/acme.sh.git
cd ./acme.sh

解压之后进入目录执行如下命令：

./acme.sh --install

安装成功后,acme.sh脚本在~/.acme.sh目录中,所以如果想直接执行脚本,那么需要设置环境变量,后文中因为配置过了环境变量所以直接执行了acme.sh脚本。

2.配置
安装成功后,我们需要创建一个存放Let’s Encrypt验证文件的文件夹(最好不要存放到root目录中),比如我们创建如下目录:

mkdir -p /www/acme-challenges

因为Let’s Encrypt在验证时候,会访问下URLhttp://csdn.net/.well-known/acme-challenge(csdn.net为我的域名,后面配置中如果您要使用请替换为您的域名)进行验证,所以我们要配置nginx(因为我使用的是nginx,所以这里仅说一下nginx)使该URL代理我们刚才创建的目录,配置如下:

server {
    listen       80;
    server_name  csdn.net www.csdn.net;

    ...

    # 访问http时转到https
    location / {
       return 301 https://$http_host$request_uri;
    }

    # 用于验证服务, acme 会自动将认证 token 放在此文件夹下面, 并通过http请求来验证
    location ^~ /.well-known/acme-challenge/ {
      alias /www/acme-challenges/.well-known/acme-challenge/;
      #添加 $uri/ $uri.html 显示index.html
      try_files $uri $uri/ $uri.html =404;
    }

    # 和上面的效果相同
    #location ^~ /.well-known/acme-challenge/ {
    #   root /www/acme-challenges/;
    #   try_files $uri $uri/ $uri.html =404;
    #}
    ...
}

3.证书生成
我采用的是http方式,执行命令如下:

acme.sh --issue -d csdn.net -d www.csdn.net --webroot /www/acme-challenges/

通过-d添加多个域名,如果需要看日志可以追加–debug或者–log参数。
证书生成成功后,会出现在~/.acme.sh/csdn.net/目录下,我们可以把它们复制出来,比如我复制到了/etc/nginx/ssl/csdn.net目录中,然后执行如下脚本进行安装证书:

acme.sh --installcert  -d csdn.net --keypath   /etc/nginx/ssl/csdn.net/csdn.net.key --fullchainpath /etc/nginx/ssl/csdn.net/csdn.net.cer --reloadcmd  "service nginx force-reload"

4.配置证书
创建的nginx配置文件,添加如下内容(其中配置需要将域名和文件目录替换为您使用的名称和路径):

# HTTPS server
#
server {
    listen       443 ssl;
    server_name  csdn.net www.csdn.net;

    ## Strong SSL Security
    ## https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html & https://cipherli.st/
    ssl on;
    ssl_certificate /etc/nginx/ssl/csdn.net/csdn.net.cer;
    ssl_certificate_key /etc/nginx/ssl/csdn.net/csdn.net.key;

    # Backwards compatible ciphers to retain compatibility with Java IDEs
    ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:50m;
    ssl_session_timeout 1d;

    # 根证书 + 中间证书, acme.sh 会自动生成一个 fullchain.cer,
    # 比如 /root/.acme.sh/csdn.net/fullchain.cer
    # 将其拷贝到 /etc/nginx/ssl/csdn.net/wangchao_im_fullchain.cer
    ssl_trusted_certificate    /etc/nginx/ssl/csdn.net/wangchao_im_fullchain.cer;

    ssl_stapling               on;
    ssl_stapling_verify        on;

    location / {
       # root   /usr/share/nginx/html;
       # index  index.html index.htm;
       # 需要替换为自己的服务
       proxy_pass  http://127.0.0.1:4000;
    }

    ## Don't show the nginx version number, a security best practice
    server_tokens off;
}

配置成功后重启nginx就可以了。

目前由于acme协议和letsencrypt CA都在频繁的更新,因此acme.sh也经常更新以保持同步,我们可以设置自动更新,命令如下:

acme.sh  --upgrade  --auto-upgrade

如果需要关闭自动更新,执行如下命令:

acme.sh --upgrade  --auto-upgrade  0