Let's Encrypt，免費好用的 HTTPS 證書

時間 2019-11-20

標籤 let's let encrypt 免費好用 https 證書简体版

原文原文鏈接

#參考https://imququ.com/post/letsencrypt-certificate.html
#####argparse安裝
#http://www.cnblogs.com/emanlee/p/4577249.htmlhtml

很早以前我就在關注 Let's Encrypt 這個免費、自動化、開放的證書籤發服務。它由 ISRG（Internet Security Research Group，互聯網安全研究小組）提供服務，而 ISRG 是來自於美國加利福尼亞州的一個公益組織。Let's Encrypt 獲得了 Mozilla、Cisco、Akamai、Electronic Frontier Foundation 和 Chrome 等衆多公司和機構的支持，發展十分迅猛。python

申請 Let's Encrypt 證書不但免費，還很是簡單，雖然每次只有 90 天的有效期，但能夠經過腳本按期更新，配好以後一勞永逸。通過一段時間的觀望，我也正式啓用 Let's Encrypt 證書了，本文記錄本站申請過程和遇到的問題。nginx

我沒有使用 Let's Encrypt 官網提供的工具來申請證書，而是用了 acme-tiny 這個更爲小巧的開源工具。如下內容基本按照 acme-tiny 的說明文檔寫的，省略了一些我不須要的步驟。git

ACME 全稱是 Automated Certificate Management Environment，直譯過來是自動化證書管理環境的意思，Let's Encrypt 的證書籤發過程使用的就是 ACME 協議。有關 ACME 協議的更多資料能夠在這個倉庫找到。github

建立賬號

首先建立一個目錄，例如 ssl，用來存放各類臨時文件和最後的證書文件。進入這個目錄，建立一個 RSA 私鑰用於 Let's Encrypt 識別你的身份：shell

openssl genrsa 4096 > account.key

建立 CSR 文件

接着就能夠生成 CSR（Certificate Signing Request，證書籤名請求）文件了。在這以前，還須要建立域名私鑰（必定不要使用上面的帳戶私鑰），根據證書不一樣類型，域名私鑰也能夠選擇 RSA 和 ECC 兩種不一樣類型。如下兩種方式請根據實際狀況二選一。api

1）建立 RSA 私鑰（兼容性好）：瀏覽器

openssl genrsa 4096 > domain.key

2）建立 ECC 私鑰（部分老舊操做系統、瀏覽器不支持。優勢是證書體積小）：安全

BASH#secp256r1 openssl ecparam -genkey -name secp256r1 | openssl ec -out domain.key #secp384r1 openssl ecparam -genkey -name secp384r1 | openssl ec -out domain.key

有關 ECC 證書的更多介紹，請點擊這裏。bash

有了私鑰文件，就能夠生成 CSR 文件了。在 CSR 中推薦至少把域名帶 www 和不帶 www 的兩種狀況都加進去，其它子域能夠根據須要添加（目前一張證書最多能夠包含 100 個域名）：

openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yoursite.com,DNS:www.yoursite.com")) > domain.csr

執行這一步時，若是提示找不到 /etc/ssl/openssl.cnf 文件，請看看 /usr/local/openssl/ssl/openssl.cnf 是否存在。若是仍是不行，也可使用交互方式建立 CSR（須要注意 Common Name 必須爲你的域名）：

openssl req -new -sha256 -key domain.key -out domain.csr

配置驗證服務

咱們知道，CA 在簽發 DV（Domain Validation）證書時，須要驗證域名全部權。傳統 CA 的驗證方式通常是往 admin@yoursite.com 發驗證郵件，而 Let's Encrypt 是在你的服務器上生成一個隨機驗證文件，再經過建立 CSR 時指定的域名訪問，若是能夠訪問則代表你對這個域名有控制權。

首先建立用於存放驗證文件的目錄，例如：

mkdir ~/www/challenges/

而後配置一個 HTTP 服務，以 Nginx 爲例：

NGINXserver { server_name www.yoursite.com yoursite.com; location ^~ /.well-known/acme-challenge/ { alias /home/xxx/www/challenges/; try_files $uri =404; } location / { rewrite ^/(.*)$ https://yoursite.com/$1 permanent; } }

以上配置優先查找 ~/www/challenges/ 目錄下的文件，若是找不到就重定向到 HTTPS 地址。這個驗證服務之後更新證書還要用到，建議一直保留。

獲取網站證書

先把 acme-tiny 腳本保存到以前的 ssl 目錄：

wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py

指定帳戶私鑰、CSR 以及驗證目錄，執行腳本：

python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir ~/www/challenges/ > ./signed.crt

若是一切正常，當前目錄下就會生成一個 signed.crt，這就是申請好的證書文件。

若是你把域名 DNS 解析放在國內，這一步極可能會遇到相似這樣的錯誤：

ValueError: Wrote file to /home/xxx/www/challenges/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg, but couldn't download http://www.yoursite.com/.well-known/acme-challenge/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg

這是由於你的域名極可能在國外沒法解析，能夠找臺國外 VPS 驗證下。個人域名最近從 DNSPod 換到了阿里雲解析，最後又換到了 CloudXNS，就是由於最近前兩家在國外都很不穩定。若是你也遇到了相似狀況，能夠暫時使用國外的 DNS 解析服務商，例如 dns.he.net。若是仍是搞不定，也能夠試試「Neilpang/le」這個工具的 DNS Mode。

搞定網站證書後，還要下載 Let's Encrypt 的中間證書。我在以前的文章中講過，配置 HTTPS 證書時既不要漏掉中間證書，也不要包含根證書。在 Nginx 配置中，須要把中間證書和網站證書合在一塊兒：

wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem

爲了後續能順利啓用 OCSP Stapling，咱們再把根證書和中間證書合在一塊兒：

wget -O - https://letsencrypt.org/certs/isrgrootx1.pem > root.pem
cat intermediate.pem root.pem > full_chained.pem

最終，修改 Nginx 中有關證書的配置並 reload 服務便可：

ssl_certificate ~/www/ssl/chained.pem; ssl_certificate_key ~/www/ssl/domain.key;

Nginx 中與 HTTPS 有關的配置項不少，這裏不一一列舉了。若有須要，請參考本站配置。

配置自動更新

Let's Encrypt 簽發的證書只有 90 天有效期，推薦使用腳本按期更新。例如我就建立了一個 renew_cert.sh 並經過 chmod a+x renew_cert.sh 賦予執行權限。文件內容以下：

BASH#!/bin/bash cd /home/xxx/www/ssl/ python acme_tiny.py --account-key account.key --csr domain.csr --acme-dir /home/xxx/www/challenges/ > signed.crt || exit wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem cat signed.crt intermediate.pem > chained.pem service nginx reload

crontab 中使用絕對路徑比較保險，crontab -e 加入如下內容：

0 0 1 * * /home/xxx/shell/renew_cert.sh >/dev/null 2>&1

這樣之後證書每月都會自動更新，一勞永逸。實際上，Let's Encrypt 官方將證書有效期定爲 90 天一方面是爲了更安全，更重要的是鼓勵用戶採用自動化部署方案。

幾個問題

Let's Encrypt 證書的兼容性，全部操做系統、瀏覽器默認是否都能識別是你們最關心的問題。實際上，因爲 Let's Encrypt 與 IdenTrust 的 DST Root CA 作了交叉認證，兼容性仍是不錯的，目前我只是發如今 Android 2 和 Windows XP 下有問題（Firefox 的證書那一套是本身實現的，不依賴於系統，XP 下只有 Firefox 信任 Let's Encrypt 證書），其它環境都正常。

（Windows XP 不信任 Let's Encrypt 的中間證書）

更新：根據 Let's Encrypt 官方說明，Windows XP 下的問題很快就會解決：

A bug in Windows XP causes parsing of our current cross-signature from IdenTrust to fail. We will be correcting this by getting new cross-signatures from IdenTrust which work on Windows XP.
注：已於 2016 年 3 月 26 日解決。

另一個問題有關 ECC 證書，官網表示計劃將在 2016 年提供對 ECC 證書的支持：

Right now all of our root and intermediate keys use RSA. We're planning to generate ECC keys and make an ECC option available to subscribers in 2016. via
注：Let's Encrypt 已於 2016 年 2 月 11 日開始支持簽發 ECC 證書。

Let's Encrypt 官方的新特性預告能夠在這個頁面查看。

我我的建議：對於我的用戶來講，若是很是在乎證書兼容性，能夠購買 RapidSSL Standard 或者 Comodo Positive SSL 這兩種證書。其中 RapidSSL 證書一共才三級，比較小；Comodo Positive 有四級，但能夠申請 ECC 證書；兩者都有着不錯的兼容性，也很是廉價（一年不到 10$）。固然，若是不用考慮 Windows XP 用戶，那麼強烈推薦 Let's Encrypt！

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。