ASPONE.CN
苦逼

[转] - Let's Encrypt 的免费 SSL 证书

原帖:https://imququ.com/post/letsencrypt-certificate.html


创建一个 RSA 私钥用于 Let's Encrypt 识别你的身份:

openssl genrsa 4096 > account.key


创建 CSR 文件

openssl genrsa 4096 > domain.key


生成 CSR (Certificate Signing Request,证书签名请求)文件了。在 CSR 中推荐至少把域名带 www 和不带 www 的两种情况都加进去,

其它子域可以根据需要添加(目前一张证书最多可以包含 100 个域名):

openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:aspone.me,DNS:www.aspone.me,DNS:nas.aspone.me,DNS:aspone.cn,DNS:www.aspone.cn,DNS:nas.aspone.cn")) > domain.csr



配置验证服务

CA 在签发 DV(Domain Validation)证书时,需要验证域名所有权。

传统 CA 的验证方式一般是往 admin@yoursite.com 发验证邮件。

而 Let's Encrypt 是在你的服务器上生成一个随机验证文件,再通过创建 CSR 时指定的域名访问,如果可以访问则表明你对这个域名有控制权。

首先创建用于存放验证文件的目录,例如:

mkdir /var/www/ssl

然后配置一个 HTTP 服务,以 Nginx 为例:

server {
    server_name www.yoursite.com yoursite.com;
    location ^~ /.well-known/acme-challenge/ {
        alias /var/www/ssl/;
        try_files $uri =404;
    }
    location / {
        rewrite ^/(.*)$ https://yoursite.com/$1 permanent;
    }
}

以上配置优先查找 /var/www/ssl 目录下的文件,如果找不到就重定向到 HTTPS 地址。这个验证服务以后更新证书还要用到,建议一直保留。


重点来了,获取网站证书

先获取工具

wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py


指定账户私钥、CSR 以及验证目录,执行脚本

python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /var/www/ssl/ > ./signed.crt


如果一切正常,当前目录下就会生成一个 signed.crt,这就是申请好的证书文件。

如果你把域名 DNS 解析放在国内,这一步很可能会遇到类似这样的错误:

ValueError: Wrote file to /home/xxx/www/challenges/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg, but couldn't download http://www.yoursite.com/.well-known/acme-challenge/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg

这是因为你的域名很可能在国外无法解析,可以找台国外 VPS 验证下。


搞定网站证书后,还要下载 Let's Encrypt 的中间证书。把中间证书和网站证书合在一起:

wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > domain.pem


为了后续能顺利启用 OCSP Stapling,我们再把根证书和中间证书合在一起:

wget -O - https://letsencrypt.org/certs/isrgrootx1.pem > root.pem
cat intermediate.pem root.pem > full_chained.pem


最终,修改 Nginx 中有关证书的配置并 reload 服务即可:

ssl_certificate     /var/www/ssl/domain.pem;
ssl_certificate_key /var/www/ssl/domain.key;


配置自动更新

Let's Encrypt 签发的证书只有 90 天有效期,推荐使用脚本定期更新。

创建一个 renew_cert.sh 并通过 chmod a+x renew_cert.sh 赋予执行权限。

文件内容如下:


#!/bin/bash
cd /home/xxx/www/ssl/
python acme_tiny.py --account-key account.key --csr domain.csr --acme-dir /var/www/ssl/ > signed.crt || exit
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
wget -O - https://letsencrypt.org/certs/isrgrootx1.pem > root.pem
cat signed.crt intermediate.pem > domain.pem
cat intermediate.pem root.pem > full_chained.pem
service nginx reload


crontab 中使用绝对路径比较保险,crontab -e 加入以下内容:

0 0 1 * * /home/xxx/shell/renew_cert.sh >/dev/null 2>&1

这样以后证书每个月都会自动更新,一劳永逸。

实际上,Let's Encrypt 官方将证书有效期定为 90 天一方面是为了更安全,更重要的是鼓励用户采用自动化部署方案。



另外:

配置 Apache2 的证书

加载 ssl 模块

a2enmod ssl


编辑配置文件

<VirtualHost *:443>
        ServerAdmin jearol@gmail.com
        ServerName www.aspone.me
        ServerAlias www.aspone.cn
        DocumentRoot /var/www/html
        SSLEngine on
        SSLCertificateFile /var/www/domain.pem
        SSLCertificateKeyFile /var/www/domain.key
        SSLCACertificateFile /var/www/full_chained.pem
</VirtualHost>

最后一行是解决 Firefox 中提示 sec_error_unknown_issuer 的问题


Copyright © 2016 ASPONE.CN. All Rights Reserved. 京ICP备18038662号