Let's Encrypt 免费 HTTPS 证书使用指南

发表于 分类于 评论: 阅读次数:

随着互联网各种攻击劫持手段的日益严重,运营商广告植入、客户传输信息泄露等问题逐步困扰着各大网站的站长,HTTPS的全面使用也就随之成为了目前的主流,包括Google、百度、淘宝等各大互联网巨头也基本都实现了全站HTTPS。但是,在 Let’s Encrypt 出来之前,SSL证书都是需要收费的,虽然最便宜的证书也不过几美金一年,但是对于ca来说几乎是0成本的。

为了让HTTPS能够全面普及,Let’s Encrypt项目应运而生。它由 ISRG(Internet Security Research Group,互联网安全研究小组)提供服务,而 ISRG 是来自于美国加利福尼亚州的一个公益组织。Let’s Encrypt 得到了 Mozilla、Cisco、Akamai、Electronic Frontier Foundation 和 Chrome 等众多公司和机构的支持,发展十分迅猛。

申请 Let’s Encrypt 证书不但免费,还非常简单,虽然每次只有 90 天的有效期,但可以通过脚本定期更新,配好之后一劳永逸。由于本站的HTTPS证书即将到期,因此我也正式启用 Let’s Encrypt 证书了,今天给大家做个使用指南,可以在使用过程中尽可能少走弯路。

在使用 Let’s Encrypt 的过程中,我没有使用官网提供的工具,主要原因是官网工具做成了一个全家桶,功能过于累赘。我用了 acme-tiny 这个更为小巧的开源工具。

创建 Let’s Encrypt 账号

Let’s Encrypt使用一个私钥来进行账号的创建与登陆,因此我们需要使用openssl创建一个account.key。

1
openssl genrsa 4096 > account.key

创建域名CSR

接下来我们就可以创建域名CSR了,在创建CSR之前,我们需要给我们的域名创建一个私钥(这个和上面的账户私钥无关),由于 Let’s Encrypt 支持ECC证书,因此我们建议你创建一个ECC的私钥(如果你需要支持windows xp上面的ie6等古董浏览器,则一定不要这么做)

1
2
3
4
5
#以下根据你的需求二选一
#创建ECC域名私钥
openssl ecparam -genkey -name secp256r1 | openssl ec -out domain.key
#创建普通域名私钥
openssl genrsa 4096 > domain.key

接下来,使用你的域名私钥创建CSR文件,这一步里面是可以增加最多100个需要加密的域名的,替换下面的yoursite.com即可(注意,稍后会说到,每个域名都会涉及到验证)

1
openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yoursite.com,DNS:www.yoursite.com")) > domain.csr

执行这一步时,需要指定 openssl.cnf 文件,一般这个文件在你的 openssl 安装目录底下。

配置域名验证

我们知道,CA 在签发 DV(Domain Validation)证书时,需要验证域名所有权。传统 CA 的验证方式一般是往 admin@yoursite.com 发验证邮件,而 Let’s Encrypt 是在你的服务器上生成一个随机验证文件,再通过创建 CSR 时指定的域名访问,如果可以访问则表明你对这个域名有控制权。
首先创建用于存放验证文件的目录,例如:

1
mkdir ~/www/challenges/

然后配置一个 HTTP 服务,以 Nginx 为例:

1
2
3
4
5
6
7
8
9
10
11
12
server {
    server_name www.yoursite.com yoursite.com;

    location ^~ /.well-known/acme-challenge/ {
        alias /home/xxx/www/challenges/;
        try_files $uri =404;
    }

    location / {
        rewrite ^/(.*)$ https://yoursite.com/$1 permanent;
    }
}

以上配置优先查找 ~/www/challenges/ 目录下的文件,如果找不到就重定向到 HTTPS 地址。这个验证服务以后更新证书还要用到,需要一直保留。

获取网站证书

先把 acme-tiny 脚本保存到之前的 ssl 目录:

1
wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py

指定账户私钥、CSR 以及验证目录,执行脚本:

1
python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir ~/www/challenges/ > ./signed.crt

如果一切正常,当前目录下就会生成一个 signed.crt,这就是申请好的证书文件。

如果你把域名 DNS 解析放在国内,这一步很可能会遇到类似这样的错误:

1
ValueError: Wrote file to /home/xxx/www/challenges/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg, but couldn't download http://www.yoursite.com/.well-known/acme-challenge/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg

这是因为你的域名很可能在国外无法访问,可以找台国外 VPS 验证下。如果你也遇到了类似情况,可以暂时使用国外的 DNS 解析服务商。

搞定网站证书后,还要下载 Let’s Encrypt 的中间证书。我在之前的文章中讲过,配置 HTTPS 证书时既不要漏掉中间证书,也不要包含根证书。在 Nginx 配置中,需要把中间证书和网站证书合在一起:

1
2
wget -O - https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem

最终,修改 Nginx 中有关证书的配置并 reload 服务即可:

1
2
ssl_certificate     ~/www/ssl/chained.pem;
ssl_certificate_key ~/www/ssl/domain.key;

配置自动更新

Let’s Encrypt 签发的证书只有 90 天有效期,但可以通过脚本定期更新。例如我创建了一个 renew_cert.sh,内容如下:

1
2
3
4
5
6
7
8
9
#!/bin/bash

cd /home/xxx/www/ssl/
python acme_tiny.py --account-key account.key --csr domain.csr --acme-dir /home/xxx/www/challenges/ > signed.crt || exit
wget -O - https://letsencrypt.org/certs/lets-encrypt-x1-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
/usr/local/nginx/sbin/nginx -s reload</code></pre>
这个脚本需要以 root 帐号运行,使用绝对路径比较保险。最后,修改 root 帐号的 crontab 配置,加入以下内容:
<pre><code class="bash">0 0 1 * * /home/xxx/root_shell/renew_cert.sh >/dev/null 2>&1

这样以后证书每个月都会自动更新,一劳永逸。实际上,Let’s Encrypt 官方将证书有效期定为 90 天一方面是为了更安全,更重要的是鼓励用户采用自动部署方案。