- 1Grass手机注册使用教程,利用闲置手机WiFi带宽赚钱_chrome://extensions/?id=ilehaonighjijnmpnagapkhpcd
- 2【华为OD机试真题 Python】 测试用例执行计划_测试用例执行计划 od机考
- 3quartus时序逻辑的开始_quartull 时序
- 4Windows10和11批处理彻底删除 Windows Defener 方法教程_win11怎么彻底卸载安全中心中
- 5libevent使用教程
- 6java重载运算符_Java为什么不支持运算符重载?
- 7进来学习K8s中的网络资源对象Service!
- 8进入2022年,移动互联网的小程序和短视频直播赛道还有机会吗?_微信小程序直播2022年最新数据
- 9Linux-ifcfg-eth0配置介绍
- 10电话营销机器人具体是怎么运行的呢?_freeswitch 营销机器人模块
python flask实战订餐系统微信小程序-61申请免费https证书_微信小程序和flask配置私有ssl
赞
踩
强行关闭nginx
yum install -y psmisc
fuser -n tcp 80
kill -9 端口号
- 1
- 2
- 3
创建目录存放所有的ssl文件
mkdir /home/www/ssl/
cd /home/www/ssl/
- 1
- 2
centos7安装openssl
yum install openssl
yum install openssl-devel
- 1
- 2
创建帐号
首先创建一个目录,例如 ssl,用来存放各种临时文件和最后的证书文件。进入这个目录,创建一个 RSA 私钥用于 Let’s Encrypt 识别你的身份:
openssl genrsa 4096 > account.key
- 1
创建 CSR 文件
接着就可以生成 CSR(Certificate Signing Request,证书签名请求)文件了。在这之前,还需要创建域名私钥(一定不要使用上面的账户私钥)RSA
1)创建 RSA 私钥(兼容性好):
openssl genrsa 4096 > domain.key
- 1
有了私钥文件,就可以使用交互方式创建 CSR(需要注意 Common Name 必须为你的域名):
openssl req -new -sha256 -key domain.key -out domain.csr
- 1
配置验证服务
我们知道,CA 在签发 DV(Domain Validation)证书时,需要验证域名所有权。Let’s Encrypt 是在你的服务器上生成一个随机验证文件,再通过创建 CSR 时指定的域名访问,如果可以访问则表明你对这个域名有控制权。
首先创建用于存放验证文件的目录,例如:
mkdir /home/www/challenges/
- 1
然后配置一个 HTTP 服务,以 Nginx 为例:
以上配置优先查找 ~/www/challenges/ 目录下的文件,如果找不到就重定向到 HTTPS 地址。这个验证服务以后更新证书还要用到,建议一直保留。
修改/etc/nginx/conf.d/order.conf
server { listen 80 default_server; listen 443 default_server; server_name food.xuhss.com; ssl on; ssl_certificate /home/www/ssl/chained.pem; ssl_certificate_key /home/www/ssl/domain.key; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA; ssl_session_cache shared:SSL:50m; location /.well-known/acme-challenge/ { alias /home/www/challenges/; try_files $uri =404; } location /static { alias /home/www/order/web/static/; } location / { try_files $uri @yourapplication; } location @yourapplication { include uwsgi_params; uwsgi_pass unix:/home/www/logs/order.sock; uwsgi_read_timeout 1800; uwsgi_send_timeout 300; } }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
获取网站证书
先把 acme-tiny 脚本保存到之前的 ssl 目录:
wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py
- 1
指定账户私钥、CSR 以及验证目录,执行脚本:
python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /home/www/challenges/ > ./signed.crt
- 1
如果一切正常,当前目录下就会生成一个 signed.crt,这就是申请好的证书文件。
如果你遇到类似这样的错误:
ValueError: Wrote file to /home/xxx/www/challenges/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg, but couldn't download http://www.yoursite.com/.well-known/acme-challenge/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg
- 1
去除掉order.conf中关于ssl的配置,比如改成这样:
server { listen 80 default_server; server_name food.xuhss.com; location /.well-known/acme-challenge/ { alias /home/www/challenges/; try_files $uri =404; } location /static { alias /home/www/order/web/static/; } location / { try_files $uri @yourapplication; } location @yourapplication { include uwsgi_params; uwsgi_pass unix:/home/www/logs/order.sock; uwsgi_read_timeout 1800; uwsgi_send_timeout 300; } }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
搞定网站证书后,还要下载 Let’s Encrypt 的中间证书。我在之前的文章中讲过,配置 HTTPS 证书时既不要漏掉中间证书,也不要包含根证书。在 Nginx 配置中,需要把中间证书和网站证书合在一起:
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
- 1
- 2
为了后续能顺利启用 OCSP Stapling,我们再把根证书和中间证书合在一起:
wget -O - https://letsencrypt.org/certs/isrgrootx1.pem > root.pem
cat intermediate.pem root.pem > full_chained.pem
- 1
- 2
最终,修改Nginx中order.conf配置并 reload 服务即可:
ssl on;
ssl_certificate /home/www/ssl/chained.pem;
ssl_certificate_key /home/www/ssl/domain.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
ssl_session_cache shared:SSL:50m;
- 1
- 2
- 3
- 4
- 5
- 6
- 7
配置自动更新
Let’s Encrypt 签发的证书只有 90 天有效期,推荐使用脚本定期更新。例如我就创建了一个 renew_cert.sh 并通过 chmod a+x renew_cert.sh 赋予执行权限。文件内容如下:
touch renew_cert.sh
chmod a+x renew_cert.sh
- 1
- 2
#!/bin/bash
cd /home/www/ssl/
python acme_tiny.py --account-key account.key --csr domain.csr --acme-dir /home/www/challenges/ > signed.crt || exit
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
service nginx reload
- 1
- 2
- 3
- 4
- 5
- 6
- 7
crontab 中使用绝对路径比较保险,crontab -e 加入以下内容:
0 0 1 * * /home/www/ssl/renew_cert.sh >/dev/null 2>&1
- 1
这样以后证书每个月都会自动更新,一劳永逸。实际上,Let’s Encrypt 官方将证书有效期定为 90 天一方面是为了更安全,更重要的是鼓励用户采用自动化部署方案。
