HTTPS证书配置
首先采用的是Let’s Encrypt颁发的免费证书,其次我是使用acme.sh配置的,这里主要说一下acme.sh的安装以及使用。
1.安装
官方方法使用如下命令即可:
curl https://get.acme.sh | SH
要么:
wget -O - https://get.acme.sh | SH
或者,从git安装
git clone https://github.com/Neilpang/acme.sh.git
cd ./acme.sh
解压之后进入目录执行如下命令:
./acme.sh --install
安装成功后,acme.sh脚本在~/.acme.sh目录中,所以如果想直接执行脚本,那么需要设置环境变量,后文中因为配置过了环境变量所以直接执行了acme.sh脚本。
2.配置
安装成功后,我们需要创建一个存放Let’s Encrypt验证文件的文件夹(最好不要存放到root目录中),比如我们创建如下目录:
mkdir -p /www/acme-challenges
因为Let’s Encrypt在验证时候,会访问下URLhttp://csdn.net/.well-known/acme-challenge(csdn.net为我的域名,后面配置中如果您要使用请替换为您的域名)进行验证,所以我们要配置nginx(因为我使用的是nginx,所以这里仅说一下nginx)使该URL代理我们刚才创建的目录,配置如下:
server {
listen 80;
server_name csdn.net www.csdn.net;
...
# 访问http时转到https
location / {
return 301 https://$http_host$request_uri;
}
# 用于验证服务, acme 会自动将认证 token 放在此文件夹下面, 并通过http请求来验证
location ^~ /.well-known/acme-challenge/ {
alias /www/acme-challenges/.well-known/acme-challenge/;
#添加 $uri/ $uri.html 显示index.html
try_files $uri $uri/ $uri.html =404;
}
# 和上面的效果相同
#location ^~ /.well-known/acme-challenge/ {
# root /www/acme-challenges/;
# try_files $uri $uri/ $uri.html =404;
#}
...
}
3.证书生成
我采用的是http方式,执行命令如下:
acme.sh --issue -d csdn.net -d www.csdn.net --webroot /www/acme-challenges/
通过-d添加多个域名,如果需要看日志可以追加–debug或者–log参数。
证书生成成功后,会出现在~/.acme.sh/csdn.net/目录下,我们可以把它们复制出来,比如我复制到了/etc/nginx/ssl/csdn.net目录中,然后执行如下脚本进行安装证书:
acme.sh --installcert -d csdn.net --keypath /etc/nginx/ssl/csdn.net/csdn.net.key --fullchainpath /etc/nginx/ssl/csdn.net/csdn.net.cer --reloadcmd "service nginx force-reload"
4.配置证书
创建的nginx配置文件,添加如下内容(其中配置需要将域名和文件目录替换为您使用的名称和路径):
# HTTPS server
#
server {
listen 443 ssl;
server_name csdn.net www.csdn.net;
## Strong SSL Security
## https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html & https://cipherli.st/
ssl on;
ssl_certificate /etc/nginx/ssl/csdn.net/csdn.net.cer;
ssl_certificate_key /etc/nginx/ssl/csdn.net/csdn.net.key;
# Backwards compatible ciphers to retain compatibility with Java IDEs
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:50m;
ssl_session_timeout 1d;
# 根证书 + 中间证书, acme.sh 会自动生成一个 fullchain.cer,
# 比如 /root/.acme.sh/csdn.net/fullchain.cer
# 将其拷贝到 /etc/nginx/ssl/csdn.net/wangchao_im_fullchain.cer
ssl_trusted_certificate /etc/nginx/ssl/csdn.net/wangchao_im_fullchain.cer;
ssl_stapling on;
ssl_stapling_verify on;
location / {
# root /usr/share/nginx/html;
# index index.html index.htm;
# 需要替换为自己的服务
proxy_pass http://127.0.0.1:4000;
}
## Don't show the nginx version number, a security best practice
server_tokens off;
}
配置成功后重启nginx就可以了。
目前由于acme协议和letsencrypt CA都在频繁的更新,因此acme.sh也经常更新以保持同步,我们可以设置自动更新,命令如下:
acme.sh --upgrade --auto-upgrade
如果需要关闭自动更新,执行如下命令:
acme.sh --upgrade --auto-upgrade 0