使用Let's Encrypt保护你的数据包

AngelCYVA 9年前

来自: https://www.leavesongs.com/SHARE/lets-encrypt-guide.html

【过年了,每天发一篇以前的存货,一共七篇。】

Let's Encrypt是去年底推出的一个免费SSL证书,且申请这个证书基本没有任何限制,只要你证明你是域名的所有者,你就可以为你的域名申请一个SSL证书。

我今天就来为我的 wiki.ioin.in 申请一个时髦的Let's Encrypt证书。

首先,我利用到的是acme-tiny,这是第三方人士开发的一个扩展。因为Let's Encrypt官方给出的方法比较麻烦,而acme-tiny这个小工具可以让用户敲几条命令即可生成好我们需要的证书。

下载acme-tiny: https://github.com/diafygi/acme-tiny

首先,生成一个用户私钥: account.key,acme-tiny通过这个证书来登录Let's Encrypt。再生成一个域名私钥,domain.key

openssl genrsa 4096 > account.key  openssl genrsa 4096 > domain.key

然后利用ACME协议,将domain.key生成domain.csr。如果你只有一个域名需要ssl,只需执行下面的语句:

openssl req -new -sha256 -key domain.key -subj "/CN=yoursite.com" > domain.csr

如果你有多个域名,比如www.xxx.com和xxx.com,你就执行下面的语句:

openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yoursite.com,DNS:www.yoursite.com")) > domain.csr

我的 wiki.ioin.in 是单域名证书,所以执行下面语句即可:

Let's Encrypt有多种方法来验证你是否是域名的所有人,而acme-tiny这个小工具用的是最简单的方法,也就是利用http文件验证。

简单来说,就是生成一个验证文件,放在

http://xxxx.com/.well-known/acme-challenge/ 下,Let's Encrypt官方验证这个文件是否存在、内容是否正确。如果一切正确,说明域名是你所有。

所以我这里,新建了一个/home/www/challenges/目录,将它别名指向 /.well-known/acme-challenge/ 。这样,我在challenges目录里写入的文件,即可通过 http://xxxx.com/.well-known/acme-challenge/ 访问了。nginx配置如下:


然后,运行acme_tiny.py脚本:

python acme_tiny.py --account-key /etc/ssl/letsencrypt/account.key --csr /etc/ssl/letsencrypt/domain.csr --acme-dir /home/www/challenges/ > /etc/ssl/letsencrypt/signed.crt

其中,将--account-key的值改为你生成的account.key的路径;--csr的值改成你生成的domain.csr的路径;--acme-dir的值改为我要写入验证文件的文件夹。
最后成功生成signed.crt,这就是我的域名证书:


在nginx里,还需要将Let's Encrypt的中间证书放到自己的证书后面,构成一个证书链chained.pem:

wget -O - https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem > intermediate.pem  cat signed.crt intermediate.pem > chained.pem

另外,还需要生成一个较强的dh。(位数不要太多!我生成了一个4096位的dh,半个小时还没生成好)。关于dh的安全性,可以关注这个网站: https://weakdh.org ,这篇文章: https://weakdh.org/sysadmin.html

openssl dhparam -out dhparam.pem 2048

生成好以后,将以上生成的私钥、证书、dh等写入nginx的配置文件:

server  {      listen 80;      listen 443 ssl;      #listen [::]:80;      server_name wiki.ioin.in;      index index.html index.htm;            ssl on;      ssl_certificate /etc/ssl/letsencrypt/chained.pem;      ssl_certificate_key /etc/ssl/letsencrypt/domain.key;      ssl_session_timeout 5m;      ssl_protocols TLSv1 TLSv1.1 TLSv1.2;      ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DH$      ssl_session_cache shared:SSL:50m;      ssl_dhparam /etc/ssl/letsencrypt/dhparam.pem;      ssl_prefer_server_ciphers on;      ...the rest of your config  }

重启nginx,一切万事大吉: https://wiki.ioin.in

另外,我们看证书的过期日期。算一下这个证书其实只有3个月,也就是一个季度。当证书快要过期的时候,我们还需要重新颁发一下证书。
重新颁发证书的过程就比较简单了,只需要重新执行acme_tiny.py即可。

我们可以将重新颁发的过程写在一个脚本里:

#!/usr/bin/sh  python /path/to/acme_tiny.py --account-key /path/to/account.key --csr /path/to/domain.csr --acme-dir /var/www/challenges/ > /tmp/signed.crt || exit  wget -O - https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem > intermediate.pem  cat /tmp/signed.crt intermediate.pem > /path/to/chained.pem  service nginx reload

然后将这个脚本加入cron,每月执行一次:

#example line in your crontab (runs once per month)  0 0 1 * * /path/to/renew_cert.sh 2>> /var/log/acme_tiny.log

就不需要人工操作了~ 

最后,测试一下SSL质量: https://www.ssllabs.com/ssltest/  


</div>