专栏首页ESOFAR ♥ .NET CORE快速签发Let's Encrypt证书指南

快速签发Let's Encrypt证书指南

本文仅记录给自己的网站添加“小绿锁”的动手操作过程,不涉及HTTPS工作原理等内容的讲解,感兴趣的同学可以参考篇尾的文章自行了解。

简单了解下我的实验环境:

  • 云服务器:CentOS 7.4
  • 网站宿主:Nginx 1.12.2
  • 备案域名:www.esofar.cn

这里以www.esofar.cn作为演示域名,届时一定要修改为自己的域名。

什么是 Let's Encrypt

Let's Encrypt是一个由非营利性组织互联网安全研究小组(ISRG)提供的免费、自动化和开放的证书颁发机构(CA)。

简单的说,借助Let's Encrypt颁发的证书可以为我们的网站免费启用HTTPS(SSL/TLS) 。

Let's Encrypt免费证书的签发/续签都是脚本自动化的,官方提供了几种证书的申请方式方法,点击此处快速浏览。

官方推荐使用Certbot客户端来签发证书,这种方式可参考文档自行尝试,不做评价。

我这里直接使用第三方客户端acme.sh申请,据了解这种方式可能是目前Let's Encrypt免费证书客户端最简单、最智能的 shell 脚本,可以自动发布和续订Let's Encrypt中的免费证书。

安装acme.sh

安装很简单,一条命令:

curl https://get.acme.sh | sh

整个安装过程进行了以下几步,了解一下即可:

  1. 把acme.sh安装到当前用户的主目录$HOME下的.acme.sh文件夹中,即~/.acme.sh/,之后所有生成的证书也会放在这个目录下;
  2. 创建了一个指令别名alias acme.sh=~/.acme.sh/acme.sh,这样我们可以通过acme.sh命令方便快速地使用acme.sh脚本;
  3. 自动创建cronjob定时任务, 每天0:00点自动检测所有的证书,如果快过期了,则会自动更新证书。

安装命令执行完毕后,执行acme.sh --version确认是否能正常使用acme.sh命令。

https://github.com/Neilpang/acme.sh
v2.7.9

如有版本信息输出则表示环境正常;如果提示命令未找到,执行source ~/.bashrc命令重载一下环境配置文件。

整个安装过程不会污染已有的系统任何功能和文件,所有的修改都限制在安装目录~/.acme.sh/中。

生成证书

据 acme.sh 官方文档介绍,其实现了 acme 协议支持的所有验证协议,一般有两种方式验证:http 和 dns 验证。

也就是我们有两种选择签发证书,这里我直接选择 http 验证方式,另外一种方式本篇不做介绍,可参考文档自行尝试。

签发证书也很简单,一条命令:

acme.sh --issue -d esofar.cn -d www.esofar.cn -w /home/wwwroot/esofar.cn

简单解释下这条命令涉及的几个参数:

  • --issue是acme.sh脚本用来颁发证书的指令;
  • -d--domain的简称,其后面须填写已备案的域名;
  • -w--webroot的简称,其后面须填写网站的根目录。

证书签发成功会有如下输出:

从截图看出,生成的证书放在了/root/.acme.sh/esofar.cn目录。

另外,可以通过下面两个常用acme.sh命令查看和删除证书:

# 查看证书列表
acme.sh --list 

# 删除证书
acme.sh remove <SAN_Domains>

至此,证书就下载成功。

安装证书

我的站点是由Nginx承载的,所以本节内容重点记录如何将证书安装到Nginx,其他 webserver 请参考 acme.sh 文档自行实践。废话不多说,进入本节正题。

上一小节,生成的证书放在了/root/.acme.sh/esofar.cn目录,因为这是acme.sh脚本的内部使用目录,而且目录结构可能会变化,所以我们不能让Nginx的配置文件直接读取该目录下的证书文件。

正确的做法就是使用--installcert命令,指定目标位置,然后证书文件会被copy到相应的位置。

一条命令即可解决:

acme.sh  --installcert -d esofar.cn \
         --key-file /etc/nginx/ssl/esofar.cn.key \
         --fullchain-file /etc/nginx/ssl/fullchain.cer \
         --reloadcmd "service nginx force-reload"

这里我将证书放到了/etc/nginx/ssl/目录下。

输出如下信息,则操作成功:

最后一步就是,修改Nginx配置文件启用ssl,修改完成后需要重启下Nginx,这一块不再详述。Nginx配置请参考:

    server {
        listen 443 ssl;
        server_name esofar.cn;
        
        ssl on;
        ssl_certificate      /etc/nginx/ssl/fullchain.cer;
        ssl_certificate_key  /etc/nginx/ssl/esofar.cn.key;

        root /home/wwwroot/esofar.cn;
        index index.html;
    
        location / {
            try_files $uri $uri/ @router;
            index index.html;
        }
    
        location @router {
            rewrite ^.*$ /index.html last;
        }
    }
    
    server {
        listen 80;
        server_name esofar.cn;
        return 301 https://$server_name$request_uri;
    }

完成证书部署后可以通过如下站点检测网站的安全级别:

更新证书

目前Let's Encrypt的证书有效期是90天,时间到了会自动更新,您无需任何操作。 今后有可能会缩短这个时间, 不过都是自动的,不需要您关心。

但是,您也可以强制续签证书:

acme.sh --renew -d example.com --force

更新 acme.sh

目前由于 acme 协议和 letsencrypt CA 都在频繁的更新, 因此 acme.sh 也经常更新以保持同步。

升级 acme.sh 到最新版:

acme.sh --upgrade

如果您不想手动升级,,可以开启自动升级:

acme.sh  --upgrade  --auto-upgrade

您也可以随时关闭自动更新:

acme.sh --upgrade  --auto-upgrade  0

相关阅读

我的博客即将搬运同步至腾讯云+社区,邀请大家一同入驻:https://cloud.tencent.com/developer/support-plan?invite_code=2a2pekjrydesc

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • JavaScript权威指南 - 数组

    JavaScript数组是一种特殊类型的对象。 JavaScript数组元素可以为任意类型,最大容纳232-1个元素。 JavaScript数组是动态的,有...

    Esofar
  • JavaScript权威指南 - 函数

    函数本身就是一段JavaScript代码,定义一次但可能被调用任意次。如果函数挂载在一个对象上,作为对象的一个属性,通常这种函数被称作对象的方法。用于初始化一个...

    Esofar
  • Redis 实战篇之搭建集群

    Redis Cluster 即 Redis 集群,是 Redis 官方在 3.0 版本推出的一套分布式存储方案。完全去中心化,由多个节点组成,所有节点彼此互联。...

    Esofar
  • Python json数据爬取处理,红点官网大奖设计作品爬取

    红点奖,源自德国。是与IF设计奖齐名的一个工业设计大奖,是世界上知名设计竞赛中最大最有影响的竞赛。红点奖与德国“IF奖”、美国“IDEA奖”一起并称为世界三大设...

    二爷
  • mongo固定集合

    莫问今朝
  • 原 PG git pull

    王果壳
  • 某大公司产品经理被研发人员暴打!是你产品飘了,还是我开发提不动刀了?

    产品经理了解技术,有助于和研发人员沟通。但了解技术后提需求时,会权衡需求和实现难度。有人说产品经理提需求时,只需要考虑用户需求,不应该考虑技术实现难度,这样做是...

    老九君
  • Python转义字符

    有时我们并不想让转义字符生效,我们只想显示字符串原来的意思,这就要用r和R来定义原始字符串。如:

    于小勇
  • 独家解读 | 矩阵视角下的BP算法

    有深度学习三巨头之称的YoshuaBengio、Yann LeCun、Geoffrey Hinton共同获得了2018年的图灵奖,得奖理由是他们在概念和工程上取...

    马上科普尚尚
  • 【AI干货】你可以使用的人工智能工具列表——个人应用

    ? 人工智能在过去几年中取得了一些重大进展。目前的大多数可用的进展都是为了工业和商业目的而开发的。此外,也有不少公司为消费者开发人工智能产品,这篇文章将盘点那...

    AiTechYun

扫码关注云+社区

领取腾讯云代金券