Ubuntu 14.04使用Let’s Encrypt配置免费SSL证书

https是未来的趋势,现在来动手一起为自己的网站也添加免费的SSL证书吧!

一、安装Let’s Encrypt客户端

1.首先需要安装git和bc这两个软件,先更新一下服务器软件包管理器,再安装这两个软件

sudo apt-get update
sudo apt-get -y install git bc

2.从github克隆Let’s Encrypt库到服务器的/opt目录下

sudo git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

二、使用Webroot插件获取SSL证书

Webroot插件会在你的网站目录下创建/.well-known目录,这是用来给Let’s Encrypt做验证的。所以我们需要给这个/.well-known目录授予权限。

1.首先在Nginx的配置文件里面修改权限

location ~ /.well-known {
    allow all;
}

2.然后重载Nginx服务器

sudo service nginx reload

3.重头戏来了!我们现在要利用Webroot插件获取一份自己的SSL证书啦

先进入letsencrypt目录,然后制作证书

cd /opt/letsencrypt
./letsencrypt-auto certonly -a webroot --webroot-path=/usr/share/nginx/html -d example.com -d www.example.com

解释一下这段命令

  • --webroot-path=这里填写的是你网站的根目录,nginx默认的目录就是/usr/share/nginx/html
  • -d后面填的就是你要配置的域名,可以用单一证书配置多个域名(例如example.comwww.example.com

注意:使用Let’s Encrypt需要superuser权限。

在letsencrypt初始化完毕后,大家将看到一些询问信息。比如

  • 填写邮箱邮箱地址以用于接收通知及恢复丢失密钥
  • 是否同意Let’s Encrypt的订阅协议

一路同意下去,操作成功后SSL证书就生成好了!

大家的证书与链都已被保存在/etc/letsencrypt/live/example.com/fullchain.pem当中,证书是有有效期的,有效期为90天,未来要获取新的证书版本,只须再次运行Let’s Encrypt即可。

在证书获取完成后,大家将拥有以下几个PEM编码文件:

  • cert.pem: 我们的域名证书
  • chain.pem: Let’s Encrypt证书链
  • fullchain.pem: cert.pem加上chain.pem
  • privkey.pem: 证书的专有密钥

4.为了进一步提升安全性,我们还需要生成一个Diffie-Hellman组。生成一个2048位组,我们可使用以下命令:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

整个过程可能需要几分钟,但在完成之后,我们将在/etc/ssl/certs/dhparam.pem当中拥有一个可靠的DH组。

三、在Nginx上配置你的SSL证书

现在我们已经拥有了SSL证书,接下来配置Nginx Web服务器以配置该证书,让域名可以用https访问。

首先编辑你Nginx的配置文件,将监听的80端口去掉,类似去掉这样的代码

listen 80;
server_name xxx.com;

然后我们要让Nginx监听443端口并启用SSL

在配置文件的server { }代码块中添加这样的代码,注意其中的example.com应该是你自己的域名

listen 443 ssl;
server_name example.com www.example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

这样Nginx服务器就能够使用我们之前获取到的Let’s Encrypt SSL证书了。

同时为了提高我们的SSL安全系数,我们要把之前生成的Diffie-Hellman组也添加进来

还是在server { }代码块中添加

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security max-age=15768000;

最后我们要强制把来自http的访问请求转换成https

server{
    listen 80;
    server_name caozhuo.net;
    #永久重定向到 https 站点
    return 301 https://$server_name$request_uri;
}

保存退出,之后重载Nginx配置。

到此Let’s Encrypt SSL证书已经部署完毕。现在,大家可以通过HTTPS在浏览器中访问自己的域名以测试SSL证书。

同时你也可以在https://www.ssllabs.com/ssltest/analyze.html中测试我们刚刚配置的SSL证书,应该会获得A+评分。

A+评分

四、添加自动续约

Let’s Encrypt证书的有效期为90天,不过建议大家每60天更新证书以作为容错空间。不过大家可以运行Let’s Encrypt客户端中的renew选项以进行手动续约。

要对全部已安装域名进行续约进程触发,运行以下命令:

/opt/letsencrypt/letsencrypt-auto renew

由于我们刚刚安装证书,所以此命令只会检查过期数据并输出消息,表明目前没有任何证书需要续约。输出结果应如下所示:

Output:

Checking for new version...
Requesting root privileges to run letsencrypt...
/root/.local/share/letsencrypt/bin/letsencrypt renew
Processing /etc/letsencrypt/renewal/example.com.conf

The following certs are not due for renewal yet:
/etc/letsencrypt/live/example.com/fullchain.pem (skipped)
No renewals were attempted.

需要注意的是,如果大家将单一证书绑定至多个域名,那么输出结果中将只显示基础域名——不过续约操作将可作用于包含在此证书中的全部有效域名。

另一种确保证书不致过期的特殊方法是创建一个cron任务,并由其定期执行续约命令。由于该续约命令会首先检查证书有效期,并只对有效期不足30天的证书进行续约操作,因此我们可以在创建的cron任务中将执行频率设定为每周甚至每天。

首先编辑crontab以创建一个新任务,本示例计划要求其每周执行续约命令。运行以下命令进行crontab编辑:

sudo crontab -e

添加以下代码

30 2 * * 1 /opt/letsencrypt/letsencrypt-auto renew >> /var/log/le-renew.log
35 2 * * 1 /etc/init.d/nginx reload

保存并退出,重启crontab使配置生效。

service cron restart

这样我们就创建了新的cron任务,其将于每周一2:30 am执行lesencrypt-auto renew命令。该命令所生成的输出结果将被保存在/var/log/le-renewal.log日志文件当中。

五、更新Let’s Encrypt客户端(可选)

当有可用更新时,大家可以利用git pull命令对Let’s Encrypt目录下的本地副本进行更新:

cd /opt/letsencrypt

sudo git pull

全部变更都将被下载至该库,用以更新我们的客户端。

参考资料:http://blog.csdn.net/zstack_org/article/details/53883850

推荐阅读更多精彩内容