Let's Encrypt,免費好用的 HTTPS 證書
Let's Encrypt,免費好用的 HTTPS 證書
很早以前我就在關注 Let's Encrypt 這個免費、自動化、開放的證書籤發服務。它由 ISRG(Internet Security Research Group,互聯網安全研究小組)提供服務,而 ISRG 是來自於美國加利福尼亞州的一個公益組織。Let's Encrypt 獲得了 Mozilla、Cisco、Akamai、IdenTrust 和 Electronic Frontier Foundation 等衆多大公司的支持,發展十分迅猛。nginx
申請 Let's Encrypt 證書不但免費,還很是簡單,雖然每次只有 90 天的有效期,但能夠經過腳本按期更新,配好以後一勞永逸。通過一段時間的觀望,我也正式啓用 Let's Encrypt 證書了,本文記錄本站申請過程和遇到的問題。git
我沒有使用 Let's Encrypt 官網提供的工具來申請證書,而是用了 acme-tiny 這個更爲小巧的開源工具。如下內容基本按照 acme-tiny 的說明文檔寫的,省略了一些我不須要的步驟。github
建立賬號
首先建立一個目錄,例如 ssl,用來存放各類臨時文件和最後的證書文件。進入這個目錄,建立一個 RSA 私鑰用於 Let's Encrypt 識別你的身份:shell
openssl genrsa 4096 > account.key
建立 CSR 文件
接着就能夠生成 CSR(Certificate Signing Request,證書籤名請求)文件了。在以前的目錄中,再建立一個域名私鑰(必定不要使用上面的帳戶私鑰):api
openssl genrsa 4096 > domain.key
生成 CSR 時推薦至少把域名帶 www 和不帶 www 的兩種狀況都加進去,其它子域能夠根據須要添加(目前一張證書最多能夠包含 100 個域名):瀏覽器
openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yoursite.com,DNS:www.yoursite.com")) > domain.csr
配置驗證服務
咱們知道,CA 在簽發 DV(Domain Validation)證書時,須要驗證域名全部權。傳統 CA 的驗證方式通常是往 admin@yoursite.com 發驗證郵件,而 Let's Encrypt 是在你的服務器上生成一個隨機驗證文件,再經過建立 CSR 時指定的域名訪問,若是能夠訪問則代表你對這個域名有控制權。安全
首先建立用於存放驗證文件的目錄,例如:bash
mkdir ~/www/challenges/
而後配置一個 HTTP 服務,以 Nginx 爲例:
NGINXserver {
server_name www.yoursite.com yoursite.com;
location /.well-known/acme-challenge/ {
alias ~/www/challenges/;
try_files $uri @redirect;
}
location @redirect {
rewrite ^/(.*)$ https://yoursite.com/$1 permanent;
}
}
以上配置優先查找 ~/www/challenges/ 目錄下的文件,若是找不到就重定向到 HTTPS 地址。這個驗證服務之後更新證書還要用到,須要一直保留。
獲取網站證書
先把 acme-tiny 腳本保存到以前的 ssl 目錄:
wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py
指定帳戶私鑰、CSR 以及驗證目錄,執行腳本:
python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir ~/www/challenges/ > ./signed.crt
若是一切正常,當前目錄下就會生成一個 signed.crt,這就是申請好的證書文件。
若是你把域名 DNS 解析放在國內,這一步極可能會遇到相似這樣的錯誤:
ValueError: Wrote file to /home/xxx/www/challenges/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg, but couldn't download http://www.yoursite.com/.well-known/acme-challenge/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg
這是由於你的域名極可能在國外沒法訪問,能夠找臺國外 VPS 驗證下。個人域名最近從 DNSPod 換到了阿里雲解析,最後又換到了 CloudXNS,就是由於最近前兩家在國外都很不穩定。若是你也遇到了相似狀況,能夠暫時使用國外的 DNS 解析服務商。
搞定網站證書後,還要下載 Let’s Encrypt 的中間證書。我在以前的文章中講過,配置 HTTPS 證書時既不要漏掉中間證書,也不要包含根證書。在 Nginx 配置中,須要把中間證書和網站證書合在一塊兒:
wget -O - https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem > intermediate.pem cat signed.crt intermediate.pem > chained.pem
最終,修改 Nginx 中有關證書的配置並 reload 服務便可:
ssl_certificate ~/www/ssl/chained.pem;
ssl_certificate_key ~/www/ssl/domain.key;
配置自動更新
Let’s Encrypt 簽發的證書只有 90 天有效期,但能夠經過腳本按期更新。例如我建立了一個 renew_cert.sh,內容以下:
BASH#!/bin/bash
cd /home/xxx/www/ssl/
python acme_tiny.py --account-key account.key --csr domain.csr --acme-dir /home/xxx/www/challenges/ > signed.crt || exit
wget -O - https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
service nginx reload
這個腳本須要以 root 賬號運行,使用絕對路徑比較保險。最後,修改 root 賬號的 crontab 配置,加入如下內容:
0 0 1 * * /home/xxx/root_shell/renew_cert.sh >/dev/null 2>&1
這樣之後證書每月都會自動更新,一勞永逸。
幾個問題
Let’s Encrypt 證書的兼容性,全部操做系統、瀏覽器默認是否都能識別是你們最關心的問題。實際上,因爲 Let’s Encrypt 與 IdenTrust 的 DST Root CA 作了交叉認證,兼容性仍是不錯的,目前我只是發如今 Android 2 和 Windows XP 下有問題(Firefox 的證書那一套是本身實現的,不依賴於系統,XP 下只有 Firefox 信任 Let’s Encrypt 證書),其它環境都正常。
(Windows XP 不信任 Let’s Encrypt 的中間證書)
另一個問題有關 ECC 證書,官網表示計劃將在 2016 年提供對 ECC 證書的支持:
Right now all of our root and intermediate keys use RSA. We're planning to generate ECC keys and make an ECC option available to subscribers in 2016. via
我我的建議:對於我的用戶來講,若是很是在乎證書兼容性,能夠購買 RapidSSL Standard 或者 Comodo Positive SSL 這兩種證書。其中 RapidSSL 證書一共才三級,比較小;Comodo Positive 有四級,但能夠申請 ECC 證書;兩者都有着不錯的兼容性,也很是廉價(一年不到 10$)。固然,若是不用考慮 Windows XP 用戶,那麼強烈推薦 Let’s Encrypt!
本文先寫到這裏,若是你在申請 Let’s Encrypt 證書的過程當中遇到問題,能夠給我留言,也歡迎交流各類心得!
本文連接:https://imququ.com/post/letsencrypt-certificate.html,參與評論。
- 1. Let's Encrypt,免費好用的 HTTPS 證書
- 2. 免費SSL證書製做-Lets Encrypt
- 3. nginx安裝Lets Encrypt SSL免費HTTPS加密證書
- 4. 使用lets encrypt 生成免費的證書
- 5. 使用 Lets Encrypt 生成用於 https 站點的免費 SSL 證書
- 6. 【Spring boot】使用Lets Encrypt 免費數字證書,全民SSL
- 7. Let's Encrypt 申請免費的 Https 證書
- 8. 使用Lets Encrypt 生成nginx ssl證書
- 9. 使用Let`s encrypt 免費的https 證書
- 10. 啓用 https 簡單免費的 Let's Encrypt SSL證書配置
- 更多相關文章...
- • 免費ARP詳解 - TCP/IP教程
- • Eclipse 添加書籤 - Eclipse 教程
- • C# 中 foreach 遍歷的用法
- • 適用於PHP初學者的學習線路和建議
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 融合阿里雲,牛客助您找到心儀好工作
- 2. 解決jdbc(jdbctemplate)在測試類時不報錯在TomCatb部署後報錯
- 3. 解決PyCharm GoLand IntelliJ 等 JetBrains 系列 IDE無法輸入中文
- 4. vue+ant design中關於圖片請求不顯示的問題。
- 5. insufficient memory && Native memory allocation (malloc) failed
- 6. 解決IDEA用Maven創建的Web工程不能創建Java Class文件的問題
- 7. [已解決] Error: Cannot download ‘https://start.spring.io/starter.zip?
- 8. 在idea讓java文件夾正常使用
- 9. Eclipse啓動提示「subversive connector discovery」
- 10. 帥某-技巧-快速轉帖博主文章(article_content)
- 1. Let's Encrypt,免費好用的 HTTPS 證書
- 2. 免費SSL證書製做-Lets Encrypt
- 3. nginx安裝Lets Encrypt SSL免費HTTPS加密證書
- 4. 使用lets encrypt 生成免費的證書
- 5. 使用 Lets Encrypt 生成用於 https 站點的免費 SSL 證書
- 6. 【Spring boot】使用Lets Encrypt 免費數字證書,全民SSL
- 7. Let's Encrypt 申請免費的 Https 證書
- 8. 使用Lets Encrypt 生成nginx ssl證書
- 9. 使用Let`s encrypt 免費的https 證書
- 10. 啓用 https 簡單免費的 Let's Encrypt SSL證書配置