2015年的时候,iOS9需要适配ATS。那是第一次接触HTTPS。后来,公司网站需要HTTPS,找了一篇教程搭建了一次。最近,HTTPS证书更新,于是找出了以前的笔记,重新整了一遍,发出来。
需要说明的是,我们这HTTPS签名的是Let's Encrypt,它是一家免费、自动化、开放的证书颁发机构(CA)。
基本步骤如下:
1、首先,克隆项目
sudo git clone https://github.com/diafygi/acme-tiny.git
cd acme-tiny
2、创建私钥
openssl genrsa 4096 > account.key
# 创建域名私钥
openssl genrsa 4096 > domain.key
3、创建请求证书
若是单个域名,则使用下面命令:
#单个域名
openssl req -new -sha256 -key domain.key -subj "/CN=yoursite.com" > domain.csr
若是多个域名,则先创建一个配置文件,例如test.conf
,配置内容示例如下:
[ req ]
distinguished_name = req_distinguished_name
req_extensions = req_ext
[ req_distinguished_name ]
commonName_default = xx(常用名称)
commonName_max = 64
organizationName_default = 公司名字
organizationalUnitName_default = xxx
localityName_default = Beijing
stateOrProvinceName_default = Beijing
countryName_default = CN
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1 = admin.liuchungui.com
DNS.2 = test.liuchungui.com
上面有很多字段没有填写,可以自行补齐。运行下面命令生成请求证书:
openssl req -new -sha512 -nodes -key domain.key -out domain.csr -config test.conf -batch -subj "/"
需要说明的是,多域名使用批量生成请求证书,请求证书签名验证的时候,会一个一个域名进行验证。
4、创建网站服务器challenge,用来进行验证
这里,和免费 HTTPS 证书 Let's Encrypt 初体验的内容一样。
Let’s Encrypt 要求你必须证明签名的域名是属于你的,所以需要在服务器上验证一些文件。脚本会帮你生成这些文件到你指定的文件夹中,我们要做的就是确保 .well-known/acme-challenge/(验证的时候会访问 yourdomian.com/.well-known/acme-challenge/) url 对应的是这个文件夹。提示:默认是发送 http 请求到 80 端口,所以最好是用 HTTP 服务(重定向到 HTTPS 也是可以的)。
首先,创建challenge目录
mkdir -p /var/www/challenges/
然后,配置nginx
#example for nginx
server {
listen 80;
server_name a.yoursite.com b.yoursite.com;
location /.well-known/acme-challenge/ {
alias /var/www/challenges/;
try_files $uri =404;
}
}
最后,进行验证
echo 123123 > /var/www/challenges/test.txt && curl http://yourdomian.com/.well-known/acme-challenge/test.txt
5、签名验证
python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /var/www/challenges/ > ./signed.crt
6、安装证书
安装证书前,需要将Let's Encrypt 中间证书加到证书中
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
7、验证证书一致性
root@iZ238n5r3z9Z:~/acme-tiny# openssl x509 -noout -modulus -in chained.pem | openssl md5
(stdin)= 92be1484c4605ffc1c8965afe50c4650
root@iZ238n5r3z9Z:~/acme-tiny# openssl rsa -noout -modulus -in domain.key | openssl md5
(stdin)= 92be1484c4605ffc1c8965afe50c4650
上面输出的md5一样,则说明证书一致了。
8、ngnix配置
server {
listen 443;
server_name a.yourdomian.com;
#charset koi8-r;#access_log logs/host.access.log main;ssl on;
ssl_certificate /root/acme-tiny/chained.pem;
ssl_certificate_key /root/acme-tiny/domain.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
ssl_session_cache shared:SSL:50m;
ssl_prefer_server_ciphers on;
#other config
}
遇到问题
1、生成请求证书的时候,碰到了140220875978400:error:04075070:rsa routines:RSA_sign:digest too big for rsa key
问题。
后来在我的mac电脑上试了下,发现没有问题。看了下服务器的openssl版本,是1.0.1f
,而我本地mac电脑的openssl版本是1.0.2l
,于是,将服务器的openssl升级到1.0.2l就可以了。
升级openssl 1.0.2l步骤如下:
wget http://www.openssl.org/source/openssl-1.0.2l.tar.gz
tar zxvf openssl-1.0.2l.tar.gz
cd openssl-1.0.2l
./config --prefix=/usr/local/openssl
make && make install
mv /usr/bin/openssl /usr/bin/openssl.old
mv /usr/include/openssl /usr/include/openssl.old
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/openssl/include/openssl /usr/include/openssl
echo "/usr/local/openssl/lib">>/etc/ld.so.conf
ldconfig -v
openssl version -a
2、签名时报错,遇到下面错误:
Traceback (most recent call last):
File "acme_tiny.py", line 198, in
main(sys.argv[1:])
File "acme_tiny.py", line 194, in main
signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca)
File "acme_tiny.py", line 92, in get_crt
raise ValueError("Error registering: {0} {1}".format(code, result))
ValueError: Error registering: 400 {
"type": "urn:acme:error:malformed",
"detail": "Provided agreement URL [https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf] does not match current agreement URL [https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf]",
"status": 400
}
解决方法:更新acme-tiny.git
仓库代码就行了。
git pull origin master
参考
免费 HTTPS 证书 Let's Encrypt 初体验
nginx reload报错SSL: error:0B080074:x509
CentOS升级openssl版本至openssl-1.0.2详细操作