自动获取/更新HTTPS证书并实现Nginx代理WSS协议

自动获取/更新HTTPS证书以及实现Nginx代理WSS协议

如果说我比别人看得更远些,那是因为我站在了巨人的肩上-----牛顿 有了轮子就会事半功倍,此篇文章就是站在巨人的肩膀上做一个简单的总结。

一个快速获取/更新 Let's encrypt 证书的 shell script

GitHub 完整说明文档 想折腾!!!自己动手生成证书可以参考这个篇博客

以下为文档详细内容以及我测试环境的配置,贴过来是为了方便离线阅读


脚本中是调用 acme_tiny.py 认证、获取、更新证书,不需要额外的依赖。

下载到本地

wget https://raw.githubusercontent.com/xdtianyu/scripts/master/lets-encrypt/letsencrypt.conf
wget https://raw.githubusercontent.com/xdtianyu/scripts/master/lets-encrypt/letsencrypt.sh
chmod +x letsencrypt.sh

配置文件

只需要修改 DOMAIN_KEY DOMAIN_DIR DOMAINS 为你自己的信息

ACCOUNT_KEY="letsencrypt-account.key"
DOMAIN_KEY="example.com.key"
DOMAIN_DIR="/var/www/example.com"
DOMAINS="DNS:example.com,DNS:whatever.example.com"
#ECC=TRUE
#LIGHTTPD=TRUE

执行过程中会自动生成需要的 key 文件。其中 ACCOUNT_KEY 为账户密钥, DOMAIN_KEY 为域名私钥, DOMAIN_DIR 为域名指向的目录,DOMAINS 为要签的域名列表, 需要 ECC 证书时取消 #ECC=TRUE 的注释,需要为 lighttpd 生成 pem 文件时,取消 #LIGHTTPD=TRUE 的注释。

运行

./letsencrypt.sh letsencrypt.conf

注意

需要已经绑定域名到 /var/www/example.com 目录,即通过 http://example.com http://whatever.example.com 可以访问到 /var/www/example.com 目录,用于域名的验证

将会生成如下几个文件

lets-encrypt-x1-cross-signed.pem
example.chained.crt          # 即网上搜索教程里常见的 fullchain.pem
example.com.key              # 即网上搜索教程里常见的 privkey.pem 
example.crt
example.csr

在 nginx 里添加 ssl 相关的配置

ssl_certificate     /path/to/cert/example.chained.crt;
ssl_certificate_key /path/to/cert/example.com.key;

cron 定时任务

每个月自动更新一次证书,可以在脚本最后加入 service nginx reload等重新加载服务。

0 0 1 * * /etc/nginx/certs/letsencrypt.sh /etc/nginx/certs/letsencrypt.conf >> /var/log/lets-encrypt.log 2>&1

生成证书后的目录结构

[root@izwz9fkgp9zwe2ol6e6darz letsencrypt]# ll
总用量 36
-rw-r--r-- 1 root root 5462 5月  15 18:16 子域名前缀.chained.crt
-rw-r--r-- 1 root root 3815 5月  15 18:16 子域名前缀.crt
-rw-r--r-- 1 root root  932 5月  15 18:16 子域名前缀.csr
-rw-r--r-- 1 root root 1675 5月  15 18:16 域名.key
-rw-r--r-- 1 root root 3243 5月  15 18:16 letsencrypt-account.key
-rw-r--r-- 1 root root  226 5月  15 18:15 letsencrypt.conf
-rwxr-xr-x 1 root root 2170 5月   5 12:12 letsencrypt.sh
-rw-r--r-- 1 root root 1647 1月  20 09:16 lets-encrypt-x3-cross-signed.pem

比如域名为:javen.qq.com 那么子域名前缀为 javen

示例配置

脚本配置文件

letsencrypt.conf 将其中的域名修改为自己的域名

# only modify the values, key files will be generated automaticly.
ACCOUNT_KEY="letsencrypt-account.key"
DOMAIN_KEY="域名.key"
DOMAIN_DIR="/home/www"
DOMAINS="DNS:域名"
#ECC=TRUE
#LIGHTTPD=TRUE
Nginx配置

nginx.conf配置文件在 /usr/local/nginx/conf/ 主要配置日志格式以及引用外部的配置文件。避免所有配置都配置到一个配置文件导致臃肿。

#user  nobody;
worker_processes  1;

#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /home/logs/nginx/logs/access.log  main;

    sendfile        on;
    #tcp_nopush     on;
    server_tokens off;
    #keepalive_timeout  0;
    keepalive_timeout  65;
    
    gzip  on;
    client_max_body_size 5m;

    include conf.d/*.conf;    

    # another virtual host using mix of IP-, name-, and port-based configuration
    #
    #server {
    #    listen       8000;
    #    listen       somename:8080;
    #    server_name  somename  alias  another.alias;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}


    # HTTPS server
    #
    #server {
    #    listen       443 ssl;
    #    server_name  localhost;

    #    ssl_certificate      cert.pem;
    #    ssl_certificate_key  cert.key;

    #    ssl_session_cache    shared:SSL:1m;
    #    ssl_session_timeout  5m;

    #    ssl_ciphers  HIGH:!aNULL:!MD5;
    #    ssl_prefer_server_ciphers  on;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}

}

https.conf 配置文件可以放在/usr/local/nginx/conf/conf.d/ 生成证书之前只需要配置80端映射到letsencrypt.confDOMAIN_DIR指定的目录,生成证书后就可以配置https测试。

upstream websocket {
    server localhost:5000;
}
server {
    listen       80;
    server_name  你的域名;
    access_log  /home/logs/nginx/logs/http.access.log  main;
    location / {
        root /home/www/;
        index index.html index.htm;
    }
}

server {
    listen      80;
    server_name wx.javen.cc;
    rewrite ^(.*)$ https://$server_name$1 permanent;
}

server {
    listen 443;
    server_name 你的域名;
    ssl on;
    ssl_certificate /home/letsencrypt/子域名前缀.chained.crt;
    ssl_certificate_key /home/letsencrypt/域名.key;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    ssl_prefer_server_ciphers on;

    location / {
        root /home/www/;
        index  index.html index.htm;
    }
    #wss协议转发 小程序里面要访问的链接
    location /wss {
        proxy_pass http://websocket;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "Upgrade";
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
    }
}

如果有疑问欢迎留言一起讨论。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏情情说

单点登录与权限管理本质:cookie安全问题

继续介绍「单点登录与权限管理」系列的第一部分:单点登录与权限管理本质,前一篇文章介绍了单点登录概念,以CAS协议的基本流程为例讲解了系统间的交互过程,过程中,c...

41913
来自专栏云计算教程系列

如何使用Python-GnuPG和Python 3验证代码和加密数据

GnuPG包提供用于生成和存储加密密钥的完整解决方案。它还允许您加密和签名数据和通信。

5148
来自专栏技术博客

VS2010链接TFS遇见错误:TF204017,没有访问工作区域,需要一个或者多个必须权限

  最近刚刚搭建好服务器,然后准备将VSS源代码迁移到TFS源代码管理服务器上面。在我本机先用的服务器帐号来上传初始化源代码数据库,然后我又用自己的帐号进行迁出...

952
来自专栏BigNerdCoding

Ubuntu 16.04 下 Typecho 部署

站点购买的时候腾讯只送了 20G 云盘,当我购买第二款机器的时候额度提升到了 50G。加上机器当时使用的是 Ubuntu 14.04 而且使用的是 HTTP 协...

4886
来自专栏编程

App与后台通信:从文本协议到二进制协议

本文主要总结了心悦俱乐部 App 的接入层从文本协议到二进制 jce 协议迭代过程中的技术方案。

1.5K10
来自专栏惨绿少年

SSH服务详解

第1章 SSH服务 1.1 SSH服务协议说明 SSH 是 Secure Shell Protocol 的简写,由 IETF 网络工作小组(Network Wo...

3080
来自专栏小白安全

小白博客 CryKeX:Linux内存加密密钥提取工具

CryKeX特性 1. 跨平台 2. 简单实用 3. 交互性强 4. 兼容性/可移植性强 5. 应...

3518
来自专栏散尽浮华

Nginx的https配置记录以及http强制跳转到https的方法梳理

一、Nginx安装(略) 安装的时候需要注意加上 --with-http_ssl_module,因为http_ssl_module不属于Nginx的基本模块。 ...

76510
来自专栏云计算与大数据

研发:http协议,什么是混合内容

混合内容在以下情况下出现:初始 HTML 内容通过安全的 HTTPS 连接加载,但其他资源(例如,图像、视频、样式表、脚本)则通过不安全的 HTTP 连接加载。...

1133
来自专栏张戈的专栏

Linux系统编译安装Redis以及主从复制配置小记

Redis 的安装配置很简单,而且很早之前就装过 Redis,可这几天再次安装时居然又遗忘了一些细节,看来好记性不如烂笔头,还是在博客记录一下比较好,至少不用总...

2783

扫码关注云+社区