先看最终实现效果
查看网站证书信息:控制台 Security > View certificate
一、Let’s Encrypt 简介
如果要启用HTTPS,我们就需要从证书授权机构(以下简称CA) 处获取一个证书,Let’s Encrypt 就是一个 CA。我们可以从 Let’s Encrypt 获得网站域名的免费的证书。这篇文章也主要讲的是在Linux下通过 Let’s Encrypt + Nginx 来让网站升级到HTTPS。
Let’s Encrypt 使用 ACME 协议来验证您对给定域名的控制权并向您颁发证书。要获得 Let’s Encrypt 证书,您需要选择一个要使用的 ACME 客户端软件。
我们这里选择的是lego(go语言编写的客户端和ACME库)
原理: 申请证书,在你的网站下生成一个.well-known/acme-challenge/xxxxxx的文件,生成成功后,Let’s Encrypt 会去访问这个文件,如果访问成功,就证明你是网站所有者,就会给你签发证书(需指定目录)。
证书颁发官网:https://letsencrypt.org/
它需要一个ACME 客户端软件,我们这里下载lego
https://github.com/go-acme/lego/releases
下载lego_v3.1.0_linux_amd64.tar.gz
主要是下载 amd 的(arm通常是手机用的),下载后把压缩包放到服务器上,我们在opt目录下 建立一个文件夹 lego,把压缩包放进去解压 ,得到三个文件,最重要的是lego这个文件(这个文件相当于我们windows下的exe可执行文件)。注意lego文件需要有可执行的权限
mkdir /opt/lego
tar -xzf lego_v3.1.0_linux_amd64.tar.gz
ls /opt/lego
详细用法: 在lego目录下 输入 ./lego --help
二、准备工作:修改文件夹权限
我们在 /etc/ssl 目录下 建立一个目录 ,暂且也叫lego , 一会将生成的证书放在这个目录下,
注:
1)我们需要使用www-data(nginx配置文件的用户)身份签证书,所以将这个目录的属主和属组改成www-data,方便一会在里面读写文件。
chown www-data:www-data lego
2)上面说到,申请证书时会在我们网站生成一个.well-known/acme-challenge/xxxxxx的文件,所以我们应该给网站一个可读写执行的权限
chmod 777 /var/www/dazheng.peterz.top
三、申请证书
sudo -u www-data /opt/lego/lego -a -m [email protected] -d dazheng.peterz.top --path /etc/ssl/lego --http --http.webroot /var/www/dazheng.peterz.top/public run
参数解释
/root/lego/lego 表示程序的路径,即我们上面下载好的程序
-d 指定域名 ,
-a 接受加密服务条款
-m 指定邮箱 提醒证书快过期
--path 程序产生文件的路径
--http 指定使用http方式,还有其他方式tls,dns 这里不做论述
--http.webroot /var/www/dazheng.peterz.top/public/ 指定网站根目录,最好写绝对路径
run 最后run运行
正常运行成功会提示
Server responded with a certificate 服务器响应了一张证书
打开/etc/ssl/lego文件夹,有两个目录,一个是accout, 里面主要存放你的邮箱账号信息, 另一个是certificates,里面存放了四个文件,我们主要用到的是 .crt(证书) 和 .key(私钥)这两个文件。
对于.crt 和.key文件可以这样理解: .key里存的就是私钥(相当于一个章), 而.crt是一个包含了公钥和其它内容的证书(相当于一张盖了章的纸)。
四、修改网站nginx配置
主要是监听 443 端口,启用 SSL,并配置 SSL 的证书和私钥路径。
nginx配置片段 ,如
server {
listen 443 ssl http2;
# listen [::]:443 ssl http2;
ssl_certificate /etc/ssl/lego/dazheng.peterz.top.crt; #证书
ssl_certificate_key /etc/ssl/lego/dazheng.peterz.top.key; #私钥
ssl_session_timeout 1d;
ssl_session_cache shared:MozSSL:10m; # about 40000 sessions
ssl_session_tickets off;
# intermediate configuration
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-P$
重载nginx配置
nginx -s reload
这样网站就配置上了https证书。
五、自动续签
以上申请的证书有效期为三个月,到期证书就无法用了,所以我们写个脚本,让它快过期时,自动续签。原理就是写个脚本执行以上的命令。
创建一个脚本 auto_cert.sh
vim auto_cert.sh
将之前的命令放进去
#!/bin/bash
sudo -u www-data /opt/lego/lego -a -m [email protected] -d dazheng.peterz.top --path /etc/ssl/lego --http --http.webroot /var/www/dazheng.peterz.top/public renew
nginx -s reload
记得给脚本加可执行权限
chomd gou+x auto_cert.sh
设置定时任务
vim /etc/crontab
在末尾加一行
0 0 1 * * root /root/auto_cert.sh #每月1号执行一次
重启 cron服务
systemctl restart cron
这时我们再查看网站证书信息,发现已经ok了。