Centos中使用Let's Encrypt配置SSL证书

Centos中使用Let's Encrypt配置SSL证书_第1张图片

Let’s Encrypt 介绍

Let’s Encrypt 是一个免费、开放,自动化的证书颁发机构,由 ISRG(Internet Security Research Group)运作。

ISRG 是一个关注网络安全的公益组织,其赞助商从非商业组织到财富100强公司都有,包括 Mozilla、Akamai、Cisco、Facebook,密歇根大学等等。ISRG 以消除资金,技术领域的障碍,全面推进加密连接成为互联网标配为自己的使命。

Let’s Encrypt 项目于2012年由 Mozilla 的两个员工发起,2014年11年对外宣布公开,2015年12月3日开启公测。

Let’s Encrypt 验证方式

Let’s Encrypt 使用两种方式对申请的域名进行验证:

  1. 手动验证 按照提示在申请证书的服务器上使用一个指定的URL提供一个指定的文件内容来进行验证,进行手动验证的服务器IP地址会被 Let’s Encrypt 服务端记录在案。
  2. 自动验证 在目标服务器 (指域名解析对应的IP地址的服务器,下同)上运行客户端,并启动一个 80 或 443 端口进行自动验证。包括独立模式(standalone)和其他web sever验证模式

Let’s Encrypt 安装

本文记录在目标服务器上采用Standalone方式进行自动验证的安装过程。

在安装之前,先介绍几个概念,防止一头蒙圈。

Standalone

使用独立模式进行自动验证,需要在 目标服务器 上运行 Let’s Encrypt 客户端,并指定 certonly 和 –standalone参数。本模式需要绑定 80 或 443 端口进行域名验证,所以如果服务器上已有web server运行并侦听这2个端口,则需要先关闭web server。

Webroot
如果 目标服务器 已有web server运行,并且不能够关闭服务来获取和安装证书,可以使用 Webroot plugin。在运行 Let’s Encrypt 客户端时指定 certonly 和 –webroot 参数,并使用 –webroot-path 或 -w 参数来指定 webroot 目录,比如 –webroot-path /usr/share/nginx/html

安装过程

1、由于操作系统为centos,所以安装必要的准备:

[root@localhost src]# yum install epel-release
[root@localhost src]# wget https://dl.eff.org/certbot-auto
[root@localhost src]# chmod a+x certbot-auto

2、安装并生成ssl证书文件

[root@localhost src]# ./certbot-auto certonly --standalone -d renrenshi.me -d www.renrenshi.me

3、证书文件说明

所有版本已申请的证书放在 /etc/letsencrypt/archive下,/etc/letsencrypt/live是指向最新版本的符号链接。

web server中关于证书的配置建议指向 live 目录下的文件,以免证书更新后还需要更改配置。

每个域名一个目录,主要包含以下几个文件:

  • cert.pem 申请的服务器域名证书文件
  • privkey.pem 服务器域名证书对应的私钥
  • chain.pem 除服务器证书外,浏览器解析所需的其他全部证书,比如根证书和中间证书
  • fullchain.pem 包含服务器证书的全部证书链文件

4、nginx配置证书文件

生成dhparams.pem:

[root@localhost conf]#cd cd /etc/ssl/certs/
[root@localhost certs]# openssl dhparam -out /etc/ssl/certs/dhparams.pem 2048

打开配置文件

[root@localhost conf]# vim /usr/local/nginx/conf/vhosts/xxx.conf

编辑xxx.conf文件,开放443端口:

server {

        listen 443 ssl;
        server_name www.xxx.com xxx.com;

        ssl_certificate /etc/letsencrypt/live/xxx.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/xxx.com/privkey.pem;
        ssl_dhparam /etc/ssl/certs/dhparams.pem;
        ssl_prefer_server_ciphers  on;

        location / {
                index index.php index.html index.shtml;
                proxy_pass http://127.0.0.1:4000;
                proxy_redirect off;
                proxy_set_header Host $host;
                proxy_set_header X-Real_IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }

        #error_page  404              /404.html;
        #
        # redirect server error pages to the static page /50x.html
        #        
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
                    root   /usr/share/nginx/html;
        }
}


#Http server
server {
    listen       80;
    server_name  xxx.com www.xxx.com;
    return 301 https://$server_name$request_uri;
}

5、检查nginx配置

[root@localhost ~]# /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful

6、启动nginx

[root@localhost ~]# /usr/local/nginx/sbin/nginx

7、访问并检查https是否成功
Centos中使用Let's Encrypt配置SSL证书_第2张图片

参考链接

Let’s Encrypt SSL证书配置:http://www.jianshu.com/p/eaac0d082ba2
官方配置介绍certbot:https://certbot.eff.org/#centosrhel6-nginx
Let’s Encrypt官网:https://letsencrypt.org/

你可能感兴趣的:(IT运维,centos,ssl,encrypt)