前言

一直想擼一下https，最近剛好有點(diǎn)空，就實(shí)現(xiàn)了一下。之前看過一篇教你快速擼一個免費(fèi)HTTPS證書的文章，通過Certbot來管理Let's Encrypt的證書，使用前需要安裝一堆庫，覺得不太友好。所謂條條大路通羅馬，肯定還有其他方法可以做這個事情。

經(jīng)過一番研究，發(fā)現(xiàn)了 acme.sh 這個庫，這個是用Shell腳本編寫的，不需要安裝其他東西，比較純凈，覺得比較適合自己，記錄一下過程。

準(zhǔn)備工作

1. 一個已解析好的域名（可以用http來訪問）。
2. 開啟服務(wù)器的443端口防火墻。

步驟

一、安裝acme.sh

curl https://get.acme.sh | sh 

這個命令后會將acme.sh安裝到~/.acme.sh/目錄下
重新載入~/.bashrc

source ~/.bashrc

二、生成證書

acme.sh--issue -d www.your-domin.com--webroot/srv/your-domin.com/ 

這個命令的意思是用http方式將www.your-domin.com生成一個證書，/srv/your-domin.com/是你的網(wǎng)站根目錄。（這個過程中acme.sh 會全自動的生成驗(yàn)證文件, 并放到網(wǎng)站的根目錄, 然后自動完成驗(yàn)證. 最后又自動刪除驗(yàn)證文件.）

三、安裝或copy證書到nginx目錄

默認(rèn)生成的證書都放在安裝目錄下: ~/.acme.sh/，這個目錄一般來說不能讓nginx或Apache直接使用。所以我們需要將證書放到一個指定的目錄，習(xí)慣是放在/etc/nginx/ssl/目錄下。acme提供了--installcert來安裝證書，只需指定目標(biāo)位置, 然后證書文件會被copy到相應(yīng)的位置。
先確保存在/etc/nginx/ssl/目錄

mkdir /etc/nginx/ssl 

copy證書并指定nginx reload命令

acme.sh--installcert-dwww.your-domin.com \ --key-file /etc/nginx/ssl/www.your-domin.com.key \ --fullchain-file /etc/nginx/ssl/fullchain.cer \ --reloadcmd"service nginx force-reload" 

service nginx force-reload是為了在讓acme自動更新時候能夠重啟nginx使得證書生效。執(zhí)行完命令可以在/etc/nginx/ssl/看到多了www.your-domin.com.key和www.your-domin.com.cer的文件。

四、生成 dhparam.pem 文件

openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048 

這一步不是必須，但最好加上，后面配置好后會通過ssllabs.com 來驗(yàn)證一下，如果這一步ssl_dhparam 未配置，將導(dǎo)致 ssllabs.com 的評分降到 B。A+是最好。

五、配置nginx

證書已安裝完畢，接下來就是讓nginx來使用這個證書了。由于我這個服務(wù)器有幾個站點(diǎn)，而目前只是一個站點(diǎn)配置了證書，因此只修改當(dāng)前站點(diǎn)的conf即可

server { listen 80; server_name www.your-domin.com; listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; ssl_certificate /etc/nginx/ssl/www.your-domin.com.cer; ssl_certificate_key /etc/nginx/ssl/www.your-domin.com.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_dhparam /etc/nginx/ssl/dhparam.pem; ... } 

ssl_prefer_server_ciphers on; 這個配置能提高證書的評分。
ssl_dhparam /etc/nginx/ssl/dhparam.pem; 能提高證書評分，這個文件是在第四步時生成的，若沒有做則不需要寫這句。
nginx -t驗(yàn)證一下nginx配置是否正確，然后systemctl restart nginx重啟一下nginx，就可以用https://www.your-domin.com測試一下你的站點(diǎn)啦。

六、證書更新

Let's Encrypt 的證書有效期是 90 天的，需要定期重新申請，不過acme在安裝的時候就已經(jīng)設(shè)置了自動更新，所以這一步不用關(guān)心，很省心。
這里了解一下acme.sh的自動更新：安裝acme時會自動為你創(chuàng)建 cronjob, 每天 0:00 點(diǎn)自動檢測所有的證書, 如果快過期了, 需要更新, 則會自動更新證書.
查看任務(wù)

# crontab -l 47 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null 

手動renew一下證書可以通過這個命令

acme.sh --cron -f 

七、設(shè)置軟件自動更新

目前由于 acme 協(xié)議和 letsencrypt CA 都在頻繁的更新, 因此 acme.sh 也經(jīng)常更新以保持同步.所以為了省心省力，最好還是設(shè)置一下軟件的自動更新，執(zhí)行下面的命令就可以了。

acme.sh--upgrade--auto-upgrade 

其他

在這個網(wǎng)站可以驗(yàn)證一下你的證書級別，根據(jù)我上面的配置可以評級為A。
https://www.ssllabs.com/ssltest/analyze.html?d=www.fengxianqi.com

參考文章

本頁內(nèi)容由塔燈網(wǎng)絡(luò)科技有限公司通過網(wǎng)絡(luò)收集編輯所得，所有資料僅供用戶學(xué)習(xí)參考，本站不擁有所有權(quán)，如您認(rèn)為本網(wǎng)頁中由涉嫌抄襲的內(nèi)容，請及時與我們聯(lián)系，并提供相關(guān)證據(jù)，工作人員會在5工作日內(nèi)聯(lián)系您，一經(jīng)查實(shí)，本站立刻刪除侵權(quán)內(nèi)容。本文鏈接:http://jstctz.cn/20393.html