域名ssl(Let)

为了在网站上启用 HTTPS,我们需要从证书颁发机构(CA)申请 SSL 证书。Let’s Encrypt 是一个证书颁发机构,向 Let’s Encrypt 申请证书是免费的。Let's Encrypt 支持泛域名证书,不需要为每个子域名单独申请证书。本文以申请泛域名证书为例,详细介绍安装和配置 SSL 证书的过程。目前常用的 Let's Encrypt 证书生成工具有 certbot、acme.sh、acme-tiny,本文使用的是 acme.sh。acme.sh 申请和安装泛域名 SSL 证书相对来说是比较方便的。安装 acme.sh安装过程需要服务器已安装 socat 模块,它是一个多功能的网络小工具。dnf install socat -y通过下面命令安装 acme.sh ,Email 用来接收重要重要通知,如证书快到期未更新会收到通知。curl https://get.acme.sh | sh -s [email protected]执行命令后几秒就安装好了,如果半天没有反应请 Ctrl+C 后重新执行命令。acme.sh 安装在 ~/.acme.sh 目录下,并自动创建了一个 cronjob,每天 0:00 点自动检测所有的证书,如果快过期了, 则会自动更新。安装后,理论上会自动添加一个 acme.sh 全局应用别名,但有时候会 command not found,需要手动执行以下命令:source ~/.bashrc 或 source ~/.bash_profile,或关掉终端重新打开,然后再继续下一步。生成证书acme.sh 实现了 acme 协议支持的所有验证协议,一般有三种验证方式:HTTP 方式、手动 DNS 方式和 DNS API 方式。推荐使用 DNS API 方式。HTTP 方式HTTP 方式需要在你的网站根目录下放置一个文件, 来验证你的域名所有权以完成验证,然后就可以生成证书了。acme.sh –issue -d example.com –webroot /path/to/example.com/acme.sh 会自动的生成验证文件,并放到网站的根目录,然后自动完成验证,最后会自动删除验证文件。如果你用的 Nginx 服务器,acme.sh 还可以智能的从 Nginx 的配置中自动完成验证,你不需要指定网站根目录。acme.sh –issue -d example.com –nginx注意,HTTP 验证方式不支持生成泛域名证书。手动 DNS 方式这种方式需要手动在域名上添加一条 TXT 解析记录,验证域名所有权。这种方式的好处是, 你不需要任何服务器,不需要任何公网 IP,只需要 DNS 的解析记录即可完成验证。执行以下命令进行手动 DNS 验证:acme.sh –issue -d example.com -d "*.example.com" –dns \
–yes-I-know-dns-manual-mode-enough-go-ahead-please到 DNS 解析中,新增一条 TXT 记录,域名前缀为 _acme-challenge,记录值为终端输出的 TXT value 的值。然后再次执行:acme.sh –renew -d example.com -d "*.example.com" \
–yes-I-know-dns-manual-mode-enough-go-ahead-please注意:这种方式的坏处是,如果不同时配置 DNS API,将无法自动更新证书,每次都需要手动再次重新解析验证域名所有权。DNS API 方式自动 DNS 验证方式需要使用域名解析服务商的 DNS API,像腾讯云(DNSPos)和阿里云都提供 DNS API 功能。如果你用的是腾讯云 DNSPod,在右上角头像下拉中选择“API 密钥”,点击“DNSPos Token”创建密钥:如果你用的是阿里云,在右上角头像下拉中选择“AccessKey 管理”,创建密钥:创建好密钥后,使用如下命令把它们的 Id 和 Token 或 Secret 放到环境变量中:# 腾讯云
export DP_Id="YourId"
export DP_Key="YourToken"

# 阿里云
export Ali_Key="YourAccessKeyId"
export Ali_Secret="YourAccessKeySecret"再通过下面命令生成证书:# 腾讯云
acme.sh –issue –dns dns_dp -d example.com -d *.example.com

# 阿里云
acme.sh –issue –dns dns_ali -d example.com -d *.example.com注意:这里第一个域名为顶级域名,后面一个为泛域名。这种方式将自动为你的域名添加一条 TXT 解析,验证成功后,这条解析记录会被删除,对你来说是无感的。证书生成成功后,默认保存在 ~/.acme.sh/example.com/ 目录中。请不要直接使用 ~/.acme.sh/ 目录下的文件,这里面的文件都是内部使用的,而且目录结构可能会变化,我们需要把证书复制到需要用的地方去。安装证书在 ~/.acme.sh/example.com/ 目录生成的证书文件中,我们主要需要用到两个文件:fullchain.cer 和 example.com.key。下面以 Nginx 为例,来看看如何安装证书。1) 创建通用 SSL 配置文件在 /etc/ginx/ 目录下,创建一个为名 ssl-options.conf 的 SSL 通用配置文件,内容参考如下:ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
ssl_session_cache shared:le_nginx_SSL:10m;
ssl_session_timeout 1200m;
ssl_session_tickets on;
ssl_stapling on;参数说明:ssl_protocols:加密协议;ssl_ciphers:加密算法;ssl_prefer_server_ciphers:服务端加密算法优先;ssl_session_cache:会话缓存;ssl_session_timeout:用户会话缓存失效时间,对安全性有高要求的站点需要降低该值;ssl_stapling:启用 OCSP 可减少用户验证证书的时间;ssl_session_tickets:为复用会话创建或加载 Ticket Key。2) 生成 dhparam.pemOpenSSL 的 dhparam 用于生成和管理 dh 文件。dh(Diffie-Hellman) 是著名的密钥交换协议,它可以保证通信双方安全地交换密钥。使用如下命令生成一个 dhparam.pem 文件:openssl dhparam -out /etc/nginx/dhparam.pem 20483) 为 Nginx 站点配置证书先为网站的证书创建一个存放目录:mkdir -p /etc/nginx/cert/example.com目录中的文件我们后面通过脚本复制进来,这里先不管。打开对应的 Nginx 站点配置文件,例如:/etc/nginx/conf.d/example.com.conf,参考编辑其内容如下:# /etc/nginx/conf.d/example.com.conf
server {
listen 80;
server_name example.com www.example.com;
return 301 https://$host$request_uri;
}

server {
listen 443 ssl;
server_name example.com www.example.com;
server_tokens off; # 禁止在响应报文中包含Nginx版本信息

ssl_certificate /etc/nginx/cert/example.com/fullchain.cer;
ssl_certificate_key /etc/nginx/cert/example.com/example.com.key;
include /etc/nginx/ssl-options.conf;
ssl_dhparam /etc/nginx/dhparam.pem;

if ($host != 'example.com' ) {
return 301 https://example.com$request_uri;
}

location / {
proxy_pass http://127.0.0.1:3000;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection keep-alive;
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}4) 安装和自动更新证书不要直接复制证书到目标目录,正确的方式是使用 -install-cert 命令安装。在命令中指定目标位置,证书文件会被复制到相应的位置。并且,可以指定 reloadcmd 命令,当证书更新以后,reloadcmd 命令会被自动调用,让新的配置生效。执行如下安装命令完成证书安装:acme.sh –install-cert -d example.com \
–key-file /etc/nginx/cert/example.com/example.com.key \
–fullchain-file /etc/nginx/cert/example.com/fullchain.cer \
–reloadcmd "systemctl force-reload nginx"这里指定的所有参数都会被自动记录下来,并在将来证书自动更新以后, 被再次自动调用。证书在到期之前会自动更新,你无需任何操作。更新 acme.sh目前由于 acme 协议和 Let's Encrypt CA 都在频繁的更新,因此 acme.sh 也经常更新以保持同步。手动升级 acme.sh 到最新版:acme.sh –upgrade如果你不想手动升级,可以开启自动升级:acme.sh –upgrade –auto-upgrade你也可以随时关闭自动更新:acme.sh –upgrade –auto-upgrade 0参考acme.sh 官方文档:
https://github.com/acmesh-official/acme.sh/wiki

本文出自快速备案,转载时请注明出处及相应链接。

本文永久链接: https://www.175ku.com/27637.html