toproplus

使用acme-tiny申请免费SSL证书

2021-04-06

网络发展迅猛,数据传输安全日益备受重视,微信小程序等更是要求服务端地址必须支持HTTPS协议,SSL证书不可或缺!

创建一个 Let’s Encrypt 账户私钥

1
2
3
mkdir -p /acme-tiny/account
cd /acme-tiny/account
openssl genrsa 4096 > lets.encrypt.account.key

创建网站域名私钥

1
2
3
mkdir -p /acme-tiny/domain
cd /acme-tiny/domain
openssl genrsa 4096 > lee23.top.key

创建申请域名证书的请求文件(CSR)

单个域名申请,以open.service.lee23.top为例

1
2
cd /acme-tiny/domain
openssl req -new -sha256 -key lee23.top.key -subj "/CN=open.service.lee23.top" > open.service.lee23.top.csr

多个域名同时申请,以open.service.lee23.top,open.source.lee23.top,blog.lee23.top为例

1
2
cd /acme-tiny/domain
openssl req -new -sha256 -key lee23.top.key -subj "/" -reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:open.service.lee23.top,DNS:open.source.lee23.top,DNS:blog.lee23.top")) > lee23.top.csr

  • 备注:

    /etc/pki/tls/openssl.cnfopenssl的配置文件位置,不同系统可能位置不同,可以通过命令 openssl version -a查看,其中OPENSSLDIR就是openssl.cnf的位置目录

配置一个让 Let’s Encrypt 能验证你拥有域名所有权的服务

我们用csr通过acme-tiny的脚本申请证书时,先在服务器上生成一个随机验证文件,Let’s Encrypt通过创建 CSR 时指定的域名访问该文件,如果可以访问则表明你对这个域名有控制权

创建验证目录

1
mkdir -p /www/challenge

Nginx 服务配置,让 Let’s Encrypt 能访问验证文件,创建challenge.conf

1
2
3
4
location /.well-known/acme-challenge/ {
            alias /www/challenge;
            try_files $uri =404;
}

Nginx 引入challenge.conf

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
server {
      listen 80;
      server_name open.service.lee23.top;
 
      include challenge.conf
        
      ......
        
  }

server {
      listen 80;
      server_name open.source.lee23.top;
 
      include challenge.conf
        
      ......
        
  }

获取签名证书

我们用acme-tiny获取签名证书

1
2
3
cd /acme-tiny
git clone https://github.com/diafygi/acme-tiny.git
mv /acme-tiny/acme-tiny /acme-tiny/acme-script

用python的docker镜像运行脚本,不用再单独安装python,但需要安装docker

1
docker run -it --rm --name acme-tiny-script -v /acme-tiny:/acme-tiny -w /acme-tiny python:2 python /acme-tiny/acme-script/acme_tiny.py --account-key /acme-tiny/account/lets.encrypt.account.key --csr /acme-tiny/domain/lee23.top.csr --acme-dir /www/challenge/ > /acme-tiny/domain/lee23.top.signed.crt

  • 备注:

    -v docker目录映射
    -w docker工作目录
    --account-key Let’s Encrypt账户私钥 lets.encrypt.account.key
    --csr 创建域名证书申请的请求文件 lee23.top.csr
    --acme-dir Let’s Encrypt验证域名所有权目录
    lee23.top.signed.crt 生成的证书文件,该文件里有打印脚本执行过程,可打开查看debug,若没报错,则证明一切顺利,debug记录无需删除

crt 转化成 pem 文件,得到SSL证书的最终文件lee23.top.chained.pem

1
2
3
4
yum install -y ca-certificates
cd /acme-tiny/domain
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat lee23.top.signed.crt intermediate.pem > lee23.top.chained.pem

Nginx配置SSL证书

创建SSL配置lee23.top.ssl.conf

1
2
3
4
5
6
7
8
9
10
11
12
#证书和域名私钥,尽量不要写绝对路径,有可能报错,如果证书和私钥不在工作目录,可以用脚本cp过去
ssl_certificate /acme-tiny/domain/lee23.top.chained.pem;
ssl_certificate_key /acme-tiny/domain/lee23.top.key;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security max-age=15768000;

  • 备注:

    ssl_certificate SSL证书pem文件位置

    ssl_certificate_key域名私钥位置

新增Nginx配置,端口为443,引入SSL配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
server {
      listen       443 ssl;
      server_name open.service.lee23.top;
      
      ......
      
      include lee23.top.ssl.conf;

      ......
  }
  
server {
      listen       443 ssl;
      server_name open.source.lee23.top;
      
      ......
      
      include lee23.top.ssl.conf;

      ......
  }

原来的80端口的Nginx配置不能删除,并配置强制跳转443端口,即强制跳转https (可选)

1
2
3
4
5
6
7
8
9
10
11
12
13

server {
    listen      80;
    server_name  open.service.lee23.top;
    
    ......
    
  
    return 301 https://$server_name$request_uri;
    
    .....

}

  • 备注:

    强制跳转443端口的代码段须配置在challenge.conf下面,避免Let’s Encrypt 验证域名所有权失败

配置自动更新证书

把上面的主要流程写进脚本 refresh.lee23.top.ssl.sh

1
2
3
4
5
6
7
8
9
#!/bin/bash

docker run -it --rm --name acme-tiny-script -v /acme-tiny:/acme-tiny -w /acme-tiny python:2 python /acme-tiny/acme-script/acme_tiny.py --account-key /acme-tiny/account/lets.encrypt.account.key --csr /acme-tiny/domain/lee23.top.csr --acme-dir /www/challenge/ > /acme-tiny/domain/lee23.top.signed.crt || exit

wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > /acme-tiny/domain/intermediate.pem

cat /acme-tiny/domain/lee23.top.signed.crt /acme-tiny/domain/intermediate.pem > /acme-tiny/domain/lee23.top.chained.pem

/usr/local/nginx/sbin/nginx -s reload

  • 备注

    /usr/local/nginx/sbin/nginx -s reload Nginx配置重载

配置crontab定时执行脚本自动更新证书,证书有效期3个月,我们每个月28日更新一次

1
0 0 28 * * /acme-tiny/refresh-ssl/refresh.lee23.top.ssl.sh 2>> /acme-tiny/refresh-ssl/refresh.lee23.top.error.log
Tags: 网络协议
浏览         访客  
小工具自动统计网站访问量
使用支付宝打赏
使用微信打赏

若你觉得我的文章对你有帮助,欢迎点击上方按钮对我打赏

扫描二维码,分享此文章