"简介 随着https越来越火,似乎也将是未来的大势所趋,这几天就抽空把自己的博客也给升级了一下。 部署https需要有一张被信任的 CA ( Certificate Authority )也就是证书授权中心颁发的 SSL 安全证书,虽然也可以自己签发SSL 安全证书,但自己签发的安全证书不会被主流的浏览器信任,所以需要 .."

使用 Certbot 申请 SSL 证书升级网站为 HTTPS

简介

随着https越来越火,似乎也将是未来的大势所趋,这几天就抽空把自己的博客也给升级了一下。

部署https需要有一张被信任的 CA ( Certificate Authority )也就是证书授权中心颁发的 SSL 安全证书,虽然也可以自己签发SSL 安全证书,但自己签发的安全证书不会被主流的浏览器信任,所以需要被信任的证书授权中心( CA )签发的安全证书。而一般的 SSL 安全证书签发服务都比较贵,比如GodaddyGlobalSign等机构签发的证书一般都需要 20 美金一年甚至更贵,不过为了加快推广 https 的普及, EEF 电子前哨基金会Mozilla 基金会美国密歇根大学成立了一个公益组织叫ISRG ( Internet Security Research Group ),这个组织从 2015 年开始推出了 Let’s Encrypt免费证书,Let’s Encrypt免费证书有效期为 3 个月,不过可以无限次续签,作为个人使用已经绰绰有余了,所以这里我选择了 Let’s Encrypt 提供的免费证书来部署 https

使用 Certbot 申请证书

Certbot是一个易于使用的自动客户端,可为 Web 服务器提取和部署SSL/TLS证书。CertbotEFF和其他人开发,作为Let's Encrypt的客户端,之前被称为“官方Let's加密客户端“Let's Encrypt Python客户端

访问Certbot官方网址:https://certbot.eff.org/,选择自己的web server和操作系统,官方会有相应的使用方式,我是Nginx + CentOS 7.5.1804

安装 Certbot

由于CentOS 7没有官网教程说的python2-certbot-nginx插件,因此我并没有使用官网的安装教程,而是使用下面的命令来获取安装插件副本:

wget https://dl.eff.org/certbot-auto
chmod a + x certbot-auto

证书申请

certbot-auto插件所在目录下使用下列命令生成证书:

./certbot-auto certonly --manual --email myemail@gmail.com -d *.wujx.top --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory

参数解释:

  1. dns-01:给域名添加一个 DNS TXT 记录。
  2. http-01:在域名对应的 Web 服务器下放置一个 HTTP well-known URL 资源文件。
  3. tls-sni-01:在域名对应的 Web 服务器下放置一个 HTTPS well-known URL 资源文件。

而申请通配符证书,只能使用dns-01的方式。

过程中会出现交互提示,第一条是说明要下载的文件大小,询问是否下载,输入y确认下载:

Total download size: 71 M
Is this ok [y/d/N]: y

请阅读并同意服务条款,输入A

-------------------------------------------------------------------------------
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
-------------------------------------------------------------------------------
(A)gree/(C)ancel: A

是否允许向设置的邮箱发送邮件,我选择了

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: N

是否对域名和机器(IP)进行绑定,选择

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.

Are you OK with your IP being logged?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y

接着出现了一条非常重要的提示,要求配置DNS TXT记录,从而验证证书申请者是否拥有域名的所有权:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name
_acme-challenge.wujx.top with the following value:

2pwGozLTXn_rSJ-Jto9Er2Kt1K4ydukN7TgKfBZXz_B

Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue

上诉提示要求给_acme-challenge.wujx.top配置一条值为2pwGozLTXn_rSJ-Jto9Er2Kt1K4ydukN7TgKfBZXz_B的 TXT 记录,在没有确认 TXT 记录生效前不要回车执行。

我用的是阿里云的域名服务,登陆阿里云控制台,添加一条域名解析,具体解析设置如下图:

配置完解析记录之后,可以在开一个ssh连接,先使用dig工具确认一下 TXT 记录是否生效,如果没有安装digCentOS 7下安装dig的命令是yum install bind-utils

输入命令dig -t txt _acme-challenge.wujx.top @8.8.8.8确认 TXT 记录是否生效,已生效可见如下信息:

; <<>> DiG 9.9.4-RedHat-9.9.4-72.el7 <<>> -t txt _acme-challenge.wujx.top @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22443
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;_acme-challenge.wujx.top.	IN	TXT

;; ANSWER SECTION:
_acme-challenge.wujx.top. 599	IN	TXT	"2pwGozLTXn_rSJ-Jto9Er2Kt1K4ydukN7TgKfBZXz_B"

;; Query time: 4192 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Jan 22 00:19:45 CST 2019
;; MSG SIZE  rcvd: 109

这时回到之前的地方,按下回车键确认进行下一步,可以看到如下提示:

Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/wujx.top/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/wujx.top/privkey.pem
   Your cert will expire on 2019-04-21. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

至此,证书申请成功,可以查看一下证书保存的目录:

[root@certbot]# tree /etc/letsencrypt/live/wujx.top/
/etc/letsencrypt/live/wujx.top/
├── cert.pem -> ../../archive/wujx.top/cert1.pem
├── chain.pem -> ../../archive/wujx.top/chain1.pem
├── fullchain.pem -> ../../archive/wujx.top/fullchain1.pem
├── privkey.pem -> ../../archive/wujx.top/privkey1.pem
└── README

0 directories, 5 files

可以使用openssl校验一下证书信息:

openssl x509 -in /etc/letsencrypt/live/wujx.top/cert.pem -noout -text

输出的信息比较多,有一行关键输出如下:

X509v3 Subject Alternative Name: 
	DNS:*.wujx.top

与预期一致,申请下来的证书对*.wujx.top整个通配符域名都有效。

Nginx 配置

申请完证书之后,需要在Nginx中进行相应的配置,编辑Nginx里的域名配置文件,添加SSL配置:

server {
    add_header X-Frame-Options SAMEORIGIN;
    listen       443 ssl;
    server_name  wujx.top www.wujx.top;

    ssl on;
    ssl_certificate /etc/letsencrypt/live/wujx.top/fullchain.pem; # 证书文件路径
    ssl_certificate_key /etc/letsencrypt/live/wujx.top/privkey.pem; # 证书私钥路径
    ssl_session_timeout 5m; 
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    ssl_prefer_server_ciphers on;
	# 其他配置省略........
}

保存后重启Nginx

nginx -s reload

访问https://www.wujx.top,网页正常出现没问题。除了上面的配置,还可以在Nginx中配置HTTP强制重定向跳转到HTTPS,在上诉server块上面在加入一个server块,写入以下配置:

server{
    add_header X-Frame-Options SAMEORIGIN;
    listen       80;
    server_name  wujx.top www.wujx.top;

    # rewrite ^(.*)$  https://$host$1 permanent; # 强制将 http 重定向到 https, 早期的写法
    return      301 https://$server_name$request_uri; # http 重定向到 https,新写法
}

保存后重启Nginx

nginx -s reload

自动续签

申请下来的证书只有三个月的有效期,但可以无限续签,Certbot提供了续签的工具,在加上定时任务,即可做到自动检测自动续签。

使用Linux内置的crond服务定时执行续订任务。

编辑当前用户定时任务文件:

crontab -e

在文件中添加新的定时任务:

0 0 3 * * ? /wujx/certbot/certbot-auto renew

参数解释:

添加完配置任务,保存并使用以下命令查看当前用户的定时任务:

crontab -l

重启crond

service crond restart

设置为开机自启动:

systemctl enable crond.service

错误解决

在整个证书申请、部署配置的过程中,我出现了两处错误

错误一:内存分配不足

遇到的第一个错误是我生成证书的时候报了个内存分配不足的错误:

Error downloading packages:
  libss-1.42.9-13.el7.x86_64: [Errno 5] [Errno 12] Cannot allocate memory
  libkadm5-1.15.1-34.el7.x86_64: [Errno 5] [Errno 12] Cannot allocate memory
  libXft-2.3.2-2.el7.x86_64: [Errno 5] [Errno 12] Cannot allocate memory
  .........

直接重启了一下服务器:

reboot

顺道修改了一下最大进程数,先查看当前最大进程数:

sysctl kernel.pid_max

设置为无限大:

echo "kernel.pid_max=1000000" >> /etc/sysctl.conf
sysctl -p

错误二:Nginx 配置完无法访问

遇到的第二个问题是在配置完Nginx后,访问网址却连不上,浏览器提示:

此网站无法提供安全连接 www.wujx.top 发送的响应无效。
尝试运行 Windows 网络诊断。
ERR_SSL_PROTOCOL_ERROR

出现这个问题是因为Nginx配置里监听了 443 HTTPS 端口,但却没有强制要求使用 443 端口使用SSL连接,所以出现SSL协议错误连接不上,解决方式是监听 443 端口配置加上ssl参数,强制使用SSL连接:

server {
    add_header X-Frame-Options SAMEORIGIN;
    listen       443 ssl; # 这里加上 ssl 参数,强制使用 ssl
    server_name  wujx.top www.wujx.top;
    #其他配置省略........
}

Nginx配置除了出现上诉错误,还有可能出现下面这个错误:

无法访问此网站 www.wujx.top 意外终止了连接。
请试试以下办法:

检查网络连接
检查代理服务器和防火墙
运行 Windows 网络诊断
ERR_CONNECTION_CLOSED

Nginx错误日志提示:

*720 no "ssl_certificate" is defined in server listening on SSL port while SSL handshaking, client: 21.133.66.122, server: 0.0.0.0:443

这一个错误则是因为在Nginx的其他server块配置里面,也有监听443端口的配置,但它们却没有实际使用,也就是只打开了监听443端口的配置,却没有配置相关的SSL证书。

解决方式是检查其他的server配置,注释掉没有实际使用的监听 443 端口的配置,或者为该server配置相关ssl证书也可以。

注释掉监听 443 端口配置:

server {
    add_header X-Frame-Options SAMEORIGIN;
    listen       80;
    # listen       443;
    # 其他配置省略.........
}

  • 服务器

    服务器,也称伺服器,是提供计算服务的设备。由于服务器需要响应服务请求,并进行处理,因此一般来说服务器应具备承担服务并且保障服务的能力。

    91 引用 • 388 回帖 • 2 关注
  • HTTPS
    71 引用 • 197 回帖 • 1 关注
感谢    关注    收藏    赞同    反对    举报    分享
回帖    
请输入回帖内容...