CentOS7 通过certbot脚本安装使用 Let’ s Encrypt 免费SSL证书(双向)

之前的我写过一篇通过码头工人直接拿取的安装方法 第一次我按照那个方法做ok 时间长了 我再次安装的时候出问题了 好像是之前的镜像不在了一样,于是我果断放弃了换了一个方法通过certbot。但是我们要先认识下Let’ s Encrypt

Let's Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起,主要的目的也是为了推进网站从HTTP向HTTPS过度的进程,目前已经有越来越多的商家加入和赞助支持。

Let's Encrypt免费SSL证书的出现,也会对传统提供付费SSL证书服务的商家有不小的打击。到目前为止,Let's Encrypt获得IdenTrust交叉签名,这就是说可以应用且支持包括FireFox、Chrome在内的主流浏览器的兼容和支持,虽然目前是公测阶段,但是也有不少的用户在自有网站项目中正式使用起来。

不知道他以后要不要收费但是现在都是免费的 所以还是用这个吧 我先给大家把流程贴出来 中间有坑你准备好踩吧 坑各种各样但是都是可以解决的:开始、

第一点你要有一个可以访问的域名 而且能访问到你的服务器

这一点就不会多讲了 基本上都会呀 所以自己去找找资料吧 国内多·····

第二点:安装certbot

yum install -y epel-release
yum install -y certbot

第三点:使用certbot申请证书

使用方法:certbot certonly --webroot -w [Web站点目录] -d [站点域名] -m [联系人email地址] --agree-tosde

eg:certbot certonly --webroot -w /opt/www/www.123.com -d www.123.com -m zhuxun_why@163.com --agree-tosde

邮箱最好是真的 因为证书过期人家好通知你

到这一步可能会出问题了 先讲成功是什么样的:

IMPORTANT NOTES:

  • Congratulations! Your certificate and chain have been saved at
    /etc/letsencrypt/live/[xxx.xxx.xxx]/fullchain.pem. Your cert will
    expire on 2017-03-20. To obtain a new or tweaked version of this
    certificate in the future, simply run certbot again. To
    non-interactively renew all of your certificates, run "certbot
    renew"
  • If you like Certbot, please consider supporting our work by:
    Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
    Donating to EFF: https://eff.org/donate-lede>

证书的保存位置在:

/etc/letsencrypt/live/www.123.com/

用户证书 cert.pem -> ../../archive/www.123.com/cert1.pem
中间证书 chain.pem -> ../../archive/www.123.com/chain1.pem
证书链, chain.pem + cert.pem fullchain.pem -> ../../archive/www.123.com/fullchain1.pem
证书私钥 privkey.pem -> ../../archive/www.123.com/privkey1.pemde>

接下来我在这一步遇到错误是什么样的:

ImportError: 'pyOpenSSL' module missing required functionality. Try upgrading to v0.14 or newer.

说实话这个错一眼或许大家就看出来了 pyOpenSSL 版本需要更新 这个其实很简单的错 在国内找到了很多解决原因 但是最后都是扯淡的 我就不讲其中都干了些啥直接解决方法

第一步:更新pip install --upgrade pip

我这里也报错了

于是我就去改了ertbot-auto脚本里用的pip版本

https://pypi.python.org/packages/11/b6/abcb525026a4be042b486df43905d6893fb04f05aac21c32c638e939e447/pip-9.0.1.tar.gz

md5=35f01da33009719497f01a4ba69d63c9

我直接把他换成了pip-9的!然后才ok的

第二步:更新pip install pyOpenSSL==0.14

看清楚了不是 pip install --upgrade pyOpenSSL==0.14 你也不要相信其他的一些方法 让你删除了再来装上 根本不能

解决问题 因为certbot源由于某些限制根本不能更新到最新的下载后pyOpenSSL模板还是0.13的 真的很坑 这个问题 我在

国内找到了很多答案 但都不行。哎 说到底还是自己技术不行啊

第四点 ****配置nginx使用证书开通https站点

生成Perfect Forward Security(PFS)键值

mkdir /etc/ssl/private/ -p
cd /etc/ssl/private/
openssl dhparam 2048 -out dhparam.pemde>

Perfect Forward Security(PFS)是个什么东西?百度去吧

配置nginx站点,例如/etc/nginx/conf.d/www.123.com.confde>,样例内容如下:

server {
listen 80;
server_name www.123.com;
rewrite ^ https://$server_name$request_uri? permanent;
}
server {
listen 443 ssl;
server_name www.123.com;
charset utf-8;
root /data/wwwroot/www.123.com;
index index.html index.htm;
access_log /var/log/nginx/ www.123.com_access.log;#这两个个文件最好手动创建上 不然重启会报错哟
error_log /var/log/nginx/ www.123.com_error.log;#这两个个文件最好手动创建上 不然重启会报错哟

letsencrypt生成的文件

ssl_certificate /etc/letsencrypt/live/www.123.com/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/www.123.com/privkey.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets on;
ssl_dhparam /etc/ssl/private/dhparam.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

一般推荐使用的ssl_ciphers值: https://wiki.mozilla.org/Security/Server_Side_TLS

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:AES:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK';
ssl_prefer_server_ciphers on;
}

第五点自动更新

可以使用crontab定时更新,例如:

每月1号5时执行执行一次更新,并重启nginx服务器

00 05 01 * * /usr/bin/certbot renew --quiet && /bin/systemctl restart nginx

推荐阅读更多精彩内容