免費(fèi)HTTPS搭建

2015年的時(shí)候,iOS9需要適配ATS。那是第一次接觸HTTPS。后來,公司網(wǎng)站需要HTTPS,找了一篇教程搭建了一次。最近,HTTPS證書更新,于是找出了以前的筆記,重新整了一遍,發(fā)出來。

需要說明的是,我們這HTTPS簽名的是Let's Encrypt,它是一家免費(fèi)、自動(dòng)化、開放的證書頒發(fā)機(jī)構(gòu)(CA)。

基本步驟如下:

1、首先,克隆項(xiàng)目

sudo git clone https://github.com/diafygi/acme-tiny.git
cd acme-tiny

2、創(chuàng)建私鑰

openssl genrsa 4096 > account.key
# 創(chuàng)建域名私鑰
openssl genrsa 4096 > domain.key

3、創(chuàng)建請(qǐng)求證書

若是單個(gè)域名,則使用下面命令:

#單個(gè)域名
openssl req -new -sha256 -key domain.key -subj "/CN=yoursite.com" > domain.csr

若是多個(gè)域名,則先創(chuàng)建一個(gè)配置文件,例如test.conf,配置內(nèi)容示例如下:

[ req ]
distinguished_name  = req_distinguished_name
req_extensions     = req_ext

[ req_distinguished_name ]
commonName_default = xx(常用名稱)
commonName_max        = 64
organizationName_default = 公司名字
organizationalUnitName_default  = xxx
localityName_default  = Beijing
stateOrProvinceName_default = Beijing
countryName_default   = CN

[ req_ext ]
subjectAltName          = @alt_names

[alt_names]
DNS.1   = admin.liuchungui.com
DNS.2   = test.liuchungui.com

上面有很多字段沒有填寫,可以自行補(bǔ)齊。運(yùn)行下面命令生成請(qǐng)求證書:

openssl req -new -sha512 -nodes -key domain.key -out domain.csr -config test.conf -batch -subj "/"

需要說明的是,多域名使用批量生成請(qǐng)求證書,請(qǐng)求證書簽名驗(yàn)證的時(shí)候,會(huì)一個(gè)一個(gè)域名進(jìn)行驗(yàn)證。

4、創(chuàng)建網(wǎng)站服務(wù)器challenge,用來進(jìn)行驗(yàn)證

這里,和免費(fèi) HTTPS 證書 Let's Encrypt 初體驗(yàn)的內(nèi)容一樣。

Let’s Encrypt 要求你必須證明簽名的域名是屬于你的,所以需要在服務(wù)器上驗(yàn)證一些文件。腳本會(huì)幫你生成這些文件到你指定的文件夾中,我們要做的就是確保 .well-known/acme-challenge/(驗(yàn)證的時(shí)候會(huì)訪問 yourdomian.com/.well-known/acme-challenge/) url 對(duì)應(yīng)的是這個(gè)文件夾。提示:默認(rèn)是發(fā)送 http 請(qǐng)求到 80 端口,所以最好是用 HTTP 服務(wù)(重定向到 HTTPS 也是可以的)。

首先,創(chuàng)建challenge目錄

mkdir -p /var/www/challenges/

然后,配置nginx

#example for nginx
server {
    listen 80;
    server_name a.yoursite.com b.yoursite.com;

    location /.well-known/acme-challenge/ {
        alias /var/www/challenges/;
        try_files $uri =404;
    }
}

最后,進(jìn)行驗(yàn)證

echo 123123 > /var/www/challenges/test.txt && curl http://yourdomian.com/.well-known/acme-challenge/test.txt

5、簽名驗(yàn)證

python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /var/www/challenges/ > ./signed.crt

6、安裝證書

安裝證書前,需要將Let's Encrypt 中間證書加到證書中

wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem

7、驗(yàn)證證書一致性

root@iZ238n5r3z9Z:~/acme-tiny# openssl x509 -noout -modulus -in chained.pem | openssl md5
(stdin)= 92be1484c4605ffc1c8965afe50c4650
root@iZ238n5r3z9Z:~/acme-tiny# openssl rsa -noout -modulus  -in domain.key | openssl md5
(stdin)= 92be1484c4605ffc1c8965afe50c4650

上面輸出的md5一樣,則說明證書一致了。

8、ngnix配置

server {
        listen       443;
        server_name  a.yourdomian.com;
        #charset koi8-r;#access_log  logs/host.access.log  main;ssl                  on;

        ssl_certificate      /root/acme-tiny/chained.pem;
        ssl_certificate_key  /root/acme-tiny/domain.key;

        ssl_session_timeout  5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
            ssl_session_cache shared:SSL:50m;
            ssl_prefer_server_ciphers on;
        #other config
}

遇到問題

1、生成請(qǐng)求證書的時(shí)候,碰到了140220875978400:error:04075070:rsa routines:RSA_sign:digest too big for rsa key問題。

后來在我的mac電腦上試了下,發(fā)現(xiàn)沒有問題??戳讼路?wù)器的openssl版本,是1.0.1f,而我本地mac電腦的openssl版本是1.0.2l,于是,將服務(wù)器的openssl升級(jí)到1.0.2l就可以了。

升級(jí)openssl 1.0.2l步驟如下:

wget http://www.openssl.org/source/openssl-1.0.2l.tar.gz  
tar zxvf openssl-1.0.2l.tar.gz  
cd openssl-1.0.2l
./config --prefix=/usr/local/openssl  
make && make install  
mv /usr/bin/openssl /usr/bin/openssl.old
mv /usr/include/openssl /usr/include/openssl.old
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl  
ln -s /usr/local/openssl/include/openssl /usr/include/openssl  
echo "/usr/local/openssl/lib">>/etc/ld.so.conf  
ldconfig -v  
openssl version -a

2、簽名時(shí)報(bào)錯(cuò),遇到下面錯(cuò)誤:

Traceback (most recent call last):
  File "acme_tiny.py", line 198, in <module>
    main(sys.argv[1:])
  File "acme_tiny.py", line 194, in main
    signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca)
  File "acme_tiny.py", line 92, in get_crt
    raise ValueError("Error registering: {0} {1}".format(code, result))
ValueError: Error registering: 400 {
  "type": "urn:acme:error:malformed",
  "detail": "Provided agreement URL [https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf] does not match current agreement URL [https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf]",
  "status": 400
}

解決方法:更新acme-tiny.git倉(cāng)庫(kù)代碼就行了。

git pull origin master

參考

免費(fèi) HTTPS 證書 Let's Encrypt 初體驗(yàn)

nginx reload報(bào)錯(cuò)SSL: error:0B080074:x509

CentOS升級(jí)openssl版本至openssl-1.0.2詳細(xì)操作

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容