使用Let's Encrypt的SSL证书配置HTTPS手记

前段时间,看见很多大会都在分享全站HTTPS的经验。HTTPS固然好,前提是SSL证书,并且签发证书的机构要靠谱。沃通的CA证书就相继被Mozilla和Google封杀了。曾经对于普通用户,权威,安全,并且免费的证书无疑就像天上的星星,可望而不可及。现在,这些星星变成了馅饼掉了下来。没错,我们可以申请安全免费的ssl证书--- Let's Encrypt

Let’s Encrypt是电子前哨基金会(EFF)发布的免费 SSL 证书服务,Google,Mozilla和Microsoft都极力支持。很早之前就听说了let’s encrypt,当时碍于其证书有效期短,并且配置麻烦,遂懒得折腾。最近发现他们的网站发布了工具和一系列自动化的工作流配置。尝试了一下,还蛮不错。

安装 Cerbot

Certbot专门用来部署Let‘s encrypt的工具,其官网会根据使用的web服务器软件和操作系统平台,提供响应的安装工具和安装方法。

我这里选择了Nginx和Ubuntu16.10的组合。会看到网站跳转到一个简易的使用文档。使用下面的命令安装即可:

$ sudo add-apt-repository ppa:certbot/certbot
$ sudo apt-get update
$ sudo apt-get install certbot

对于Ubuntu14以上的版本,可能并没有add-apt-repository。需要安装下面的软件包:

$ sudo apt-get install python-software-properties
$ sudo apt-get install software-properties-common

Cerbot是EFF为了避免以前使用letsencyrpt配置繁琐而开发的工具。因操作系统不一样,安装的软件包也不一样,例如centos安装的是cerbot-auto,以前的ubuntu安装的则是letsencyrpt。具体用那个,直接通过上面的组合,根据文档提示即可。

配置

别担心,Cerbot就是为了减少配置而生的。这里的配置即创建一个目录,配置域名访问服务器即可。首先创建一个文件夹,用于letsencrypt的目录。

$ sudo mkdir -p /etc/letsencrypt

然后编辑nginx,启动一个基本的web服务。假设你的网站根目录再/var/www下。nginx配置大致如下

server {
        listen 80 default_server;
      
        root /var/www;

        index index.html index.htm index.nginx-debian.html;
        
        server_name www.example.com;

        location / {
               
                try_files $uri $uri/ =404;
        }
}

配置完毕nginx,确保能访问 http://www.example.com。配置域名和http服务器的主要作用在于让letsencrypt校验你是该域名的所有者。因为等下调用Certbot命令的时候,会在www目录下创建一个隐藏的.well-known/acme-challenge的文件,然后letsencrypt访问http://www.example.com/.well-known/acme-challenge。如果无法访问,那么letsencrypt会认为该域名不是你的,自然就无法为你签发证书了。

生成证书

又是安装,又是配置服务器。目前为止还不算复杂。当然,下面也不会复杂,有了上面的准备,生成证书只需要一条命令。

$ sudo certbot certonly --webroot -w /var/www -d www.example.com 

运行命令之后,会有一些选择,Yes或者No,有一步需要提供一个邮箱,用于证书快过期的时候收到letsencrypt的提示。

上面的命令中,certonly是子命令,webroot是一个插件。w参数表示网站的根目录,即certbot创建.well-know的地方,d参数表示签发的域名。可以一次指定多个 w网站d域名的配对。

对于其他系统,有可能不是这个certbot命令,可能是certbot-auto或者letsencrypt

签发成功之后,就会在/etc/letsencrypt下生成如下的文件:

$ ls
accounts  archive  csr  keys  live  post-hook.d  pre-hook.d  renew-hook.d  renewal

其中archive文件夹存放多个归档的证书,keys是所有的证书。这些都是跟重签证书和续有效期有关的。使用certbot的工具,我们可以忽略这些目录。当前使用的证书存放在live文件下。

/etc/letsencrypt/live/www.example.com 目录下有README cert.pem chain.pem fullchain.pem privkey.pem这几个文件,

▪ privkey.pem 这是私匙,对应Nginx的sslcertificatekey选项。 ▪ cert.pem 服务器证书,对应SSLCertificateFile选项。 ▪ chain.pem 除服务器证书之外的所有证书,Nginx对应ssltrustedcertificate选项。 ▪ fullchain.pem 包括上面的服务器证书和其他证书,Nginx对应ssl_certificate选项。

实际上live目录的存放的证书文件都是对archive的连接。我们只要指定该目录的文件,当证书更下的时候,会自动修改连接。

配置HTTPS

我们已经生成了SSL证书,下面就是应用到我们的服务器了。对于配置nginx的https,有mozilla的一个网站提供了最佳实践。我们只需要选择nginx和openssl的版本,就会自动生成一个基础配置给我们,非常方便

对于上面的配置,大致如下:

server {
    listen 80 default_server;
    listen [::]:80 default_server;

    # Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
    ssl_certificate /path/to/signed_cert_plus_intermediates;
    ssl_certificate_key /path/to/private_key;
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;

    # Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
    ssl_dhparam /path/to/dhparam.pem;

    # intermediate configuration. tweak to your needs.
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
    ssl_prefer_server_ciphers on;

    # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
    add_header Strict-Transport-Security max-age=15768000;

    # OCSP Stapling ---
    # fetch OCSP records from URL in ssl_certificate and cache them
    ssl_stapling on;
    ssl_stapling_verify on;

    ## verify chain of trust of OCSP response using Root CA and Intermediate certs
    ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;

    ....
}

listen 443 ssl http2; 表示监听443端口,并开启http2,当然也可以不开启。 ssl_certificate配置fullchain.pem的路径; sslcertificatekey配置privkey.pem的路径。 ssl_dhparam的配置/etc/nginx/ssl。如果不存在这个文件,就自己创建。创建的命令如下:

$ sudo mkdir /etc/nginx/ssl
$ sudo openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

生成ssl_dhparam.pem文件大概需要一分钟。ssl_trusted_certificate的配置是可选的,并且nginx文档也提到ssl_certificate 如果已经包含了intermediates,所以我们就配置这个。

resolver的作用是配置解析OCSP服务器的域名,通常会写VPS云服务商提供的DNS服务器。这里我们也忽略。

配置完毕之后,重启nginx,此时再访问你的域名www.example.com就能看见https的协议,浏览器加上了一把绿色的小锁。

检测SSL的安全性

配置成功HTTPS之后,为了验证我们的成果,可以通过Qualys SSL Labs网站检测。不出意外,你将得到一个A+。如果还没有,则仔细看看还差什么方面的修补啦。

如果开启了nginx的HTTP2配置,也会看见浏览器访问的开发者工具中,显示的h2的协议。当然,nginx开启http需要版本在1.9.5之上,编译还需要设置--with-http_v2_module。对于1.10.1以上的版本,则默认安装的就能开启http2的功能。

更新证书

letsencrypt的证书权威且安全,就是有效期只有90天。过期前需要续时间。好在certbot提供的工具足够简单。

运行命令sudo certbot renew即可续时间,如果还没到过期时间,运行命令也不会有大碍。当然你可以使用命令测试sudo certbot renew --dry-run。续的时候certbot也会根据上面配置域名的时候,校验服务器上.well-know。确保你的服务器依然可以访问这个文件,不然会认证失败。

成功续了时间之后,还需要重启服务器。因此需要自己写一个脚本或者cron。定期更新证书的有效期并且重启nginx服务。

总结

Let‘s Encrypt项目刚开始的时候,使用确实很麻烦。有好心人做了第三方配置脚本,可是对不同系统的兼容性比较差。不知道是不是用户反馈还是EFF看不下去了,才开发了Certbot。Certbot确实是神器,化繁为简。由此可见,很多时候,我们可以通过技术创造去提供更好的服务。使用HTTPS,开启HTTP2.0。让letsencrypt为你的网站保驾护航。


原文发布于微信公众号 - Golang语言社区(Golangweb)

原文发表时间:2018-01-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏张善友的专栏

Jexus服务器SSL二级证书安装指南

申请获得服务器证书有三张,一张服务器证书,二张中级CA证书。在Android微信中访问Https,如果服务器只有一张CA证书,就无法访问。 获取服务器证书中级...

25180
来自专栏信安之路

SSL_TLS 攻击原理解析

本文主要描述 HTTPS 中对于 ssl/tls 加密的攻击手法,什么是 HTTPS 呢?百度百科的解释如下:

25500
来自专栏Scott_Mr 个人专栏

RxSwift 系列(七) -- Connectable Operators

35880
来自专栏Ryan Miao

spring boot启用tomcat ssl

首先要生成一个keystore证书。参考:Tomcat创建HTTPS访问,java访问https,ssl证书生成:cer&jks文件生成摘录,spring-bo...

678140
来自专栏owent

接入letsencrypt+全面启用HTTP/2

之前我的域名只有owent.net和www.owent.net买了SSL证书,现在有letsencrypt可以拿到免费的SSL签证,就稍微花了点时间把我的域名的...

10720
来自专栏進无尽的文章

精析-苹果开发者证书的实现机制

      在iOS开发过程中,不可避免的要和证书打交道,真机调试、App上架、打包给测试去测试等都需要搞证书。在此过程中我们会遇到很多的问题,但是如果掌握了真...

20820
来自专栏编程

Nginx双证书ECC/RSA配置

大家好,我是你们的老朋友Alex。今天教大家使用nginx配置证书,双证书! Nginx1.11.0版本后提供了ESA/ECC双证书的支持,以下是参考链接: h...

75880
来自专栏云计算教程系列

如何在Ubuntu 14.04上安装Nginx背后的话语

本教程将引导您完成配置Discourse的步骤,使用Nginx将其移至反向代理后面。在备用代理后面移动话语为您提供了在Droplet上运行其他网站的灵活性。

13430
来自专栏JMCui

Jenkins修改管理员密码.

前言:Jenkins修改管理员密码,我看了网上所有的教程,竟然全都是拿着一串已经加密好的111111的密文去替代config.xml文件里面的密码,然后大家的...

37740
来自专栏Flutter&Dart

DartVM服务器开发(第二十天)--jaguar配置HTTPS

我们可以在项目里面的bin文件夹下面创建一个文件夹叫做ssl 分别将上面生成的秘钥跟证书放到这个文件夹下面

11110

扫码关注云+社区

领取腾讯云代金券