Let’s Encrypt简介
Let’s Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起,主要的目的也是为了推进网站从HTTP向HTTPS过度的进程,目前已经有越来越多的商家加入和赞助支持。
Let’s Encrypt免费SSL证书的出现,也会对传统提供付费SSL证书服务的商家有不小的打击。到目前为止,Let’s Encrypt获得IdenTrust交叉签名,这就是说可以应用且支持包括FireFox、Chrome在内的主流浏览器的兼容和支持,虽然目前是公测阶段,但是也有不少的用户在自有网站项目中正式使用起来。
为什么要发布这篇教程
原来一些旧的证书申请方法已经失效了,一时间像无头苍蝇一样导出搜索找解决方法,花了一个多小时终于搞定了。
签发工具
Let’s Encrypt 生成证书的工具很多,certbot 是官方推荐的签发工具,也可以通过在线服务申请,例如:
- FreeSSL(不支持自动续签)
- 七牛(不支持 DV 泛域名)
- 又拍云(不支持 DV 泛域名)
在线一站式服务管理方便,但可能需要绑定业务,个人用户还是推荐通过工具生成证书。这里推荐 acme.sh,它不仅有详细的中文文档,操作更为方便,还支持 Docker。
安装acme.sh
在线一键安装:
curl https://get.acme.sh | sh
注意安装完还要注册一下邮箱:
acme.sh --register-account -m xxxxxxx@yyyy.com
大陆如果无法访问github则会安装失败,可以用下面的方法:
git clone https://gitee.com/neilpang/acme.sh.git
cd acme.sh
./acme.sh --install -m my@example.com
相关命令
# 查看帮助
acme.sh -h
# 查看列表
acme.sh --list
# 卸载 acme.sh
# 编辑 ~/.bashrc,删除 acme.sh alias
acme.sh --uninstall
脚本更新
自动更新:acme.sh --upgrade --auto-upgrade
手动更新:acme.sh --upgrade
关闭更新:acme.sh --upgrade --auto-upgrade 0
证书申请
验证域名所有权验证方式:HTTP 和 DNS
- HTTP:在网站的根目录下添加一个文件
- DNS:在域名上添加一条 txt 解析记录
HTTP
acme.sh 会自动生成验证文件,并放到站点的根目录,然后自动完成验证,最后自动删除文件。
- -d:同
--domain,域名 - -w:同
--webroot,站点根目录
acme.sh --issue -d mydomain.com -d www.mydomain.com -w /websvr/mydomain.com/
注:根据中国大陆工信部的规定,所有托管在中国大陆服务器上的网站均需要备案。
—— 站点如未备案,80 端口处于禁用状态,acme.sh 无法使用 HTTP 验证域名所有权。
DNS
优势:不需要服务器与公网 ip,只要配置 DNS 解析即可。
不足:必须配置 Automatic DNS API 才可以自动续签。
# https://github.com/Neilpang/acme.sh/wiki/dns-manual-mode
# 注:DNS 不支持自动续签
# 步骤:
# 1. 生成相应的解析记录
# 2. 域名解析中添加生成的 txt 记录
# 3. 等待解析其生效
acme.sh --issue --dns -d mydomain.com --yes-I-know-dns-manual-mode-enough-go-ahead-please
# 查询域名 txt 记录
nslookup -type=txt _acme-challenge.mydomain.com
# 解析生效后,重新生成证书(注:确实是 renew)
acme.sh --renew -d mydomain.com --yes-I-know-dns-manual-mode-enough-go-ahead-please
证书配置
生成的证书都在 home 目录下: ~/.acme.sh/
导出证书
使用 --install-cert 命令
- -d:域名
- –key-file:私钥位置
- –fullchain-file:证书位置
- –reloadcmd:重载命令
acme.sh --install-cert -d mydomain.com \
--key-file /websvr/ssl/mydomain.key \
--fullchain-file /websvr/ssl/fullchain.cer \
--reloadcmd "docker exec -t nginx nginx -s reload"
Nginx 配置
server {
listen 80;
server_name mydomain.com;
# 重定向到 https
rewrite ^(.*)$ https://$host$1 permanent;
}
server {
listen 443;
server_name mydomain.com;
root /websvr/www/mydomain.com;
index index.html index.htm;
access_log /dev/null;
error_log /websvr/log/nginx/mydomain.com.error.log warn;
# SSL 配置
ssl on;
ssl_certificate /websvr/ssl/fullchain.cer; # 证书文件
ssl_certificate_key /websvr/ssl/mydomain.key; # 私钥文件
ssl_session_timeout 5m; # 会话缓存过期时间
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # 开启 SSL 支持
ssl_prefer_server_ciphers on; # 设置协商加密算法时,优先使用服务端的加密套件
}