使用let's encrypt工具配置Nginx HTTPS

let's encrypt基礎知識

  • let's encrypt是一個認證機構(Certificate Authority = CA)
  • 想使用HTTPS需要認證機構頒發的電子證書
  • Let’s Encrypt和其他認證機構的區別(或者說是賣點):
    • 免費,Let’s Encrypt提供期限是90天的免費電子證書
    • 提供工具certbot自動生成電子證書文件
  • Let's Encrypt為了自動生成電子證書搞了一個ACME協議
    • Automatic Certificate Management Environment=ACME,自動認證管理環境協議
    • 協議草案已經提交IETF
    • ACME協議的基本思路是:
      • 在你服務器上生成一次性的隨機特征數據(nonce)
      • 然后通過Let’s Encrypt的服務器核對這個數據
      • 核對成功發放證書
      • 有兩種方式,HTTP和DNS,一般使用的是前者

安裝和le t's encrypt

本文使用的環境是:

  • Ubuntu 16.04 Server
  • Nginx 1.12.0
  • certbot,let's encrypt提供的工具

本文安裝配置,基本參考了以下兩篇文章:

需要先配置好Nginx和需要HTTPS的網站

比如:http://www.mydomain.com,已經正確配置Nginx,正常訪問了。

本文以下就以www.mydomian.com域名的網站為例,說明如何配置https。

選擇webroot方式

certbot提供了兩種安裝配置方式:

  • webroot,在已存在的Nginx上配置https
  • standalone,certbot幫助創建帶https的Nginx

我們使用webroot方式。

創建letsencrypt.conf

創建文件:/etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ {
        default_type "text/plain";
        root /var/www/letsencrypt;
}

創建配置文件需要的目錄:

sudo mkdir -p /var/www/letsencrypt/.well-known/acme-challenge

創建ssl.conf

創建文件:/etc/nginx/snippets/ssl.conf

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;

ssl_protocols TLSv1.2;
ssl_ciphers EECDH+AESGCM:EECDH+AES;
ssl_ecdh_curve secp384r1;
ssl_prefer_server_ciphers on;

ssl_stapling on;
ssl_stapling_verify on;

add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

修改http網站的配置

找到www.mydomain.com網站在Nginx上的配置文件,比如 /etc/nginx/conf.d/www.mydomain.com.conf

server {
        listen 80;
        server_name www.mydomain.com;

        include /etc/nginx/snippets/letsencrypt.conf; # 需要增加的內容

        root /var/www/www.mydomain.com;
        index index.html;
        location / {
                try_files $uri $uri/ =404;
        }
}

配置好后,重新加載Nginx:

sudo systemctl reload nginx

安裝certbot

sudo apt-get install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install certbot

certbot執行對域名的認證

certbot certonly --webroot --agree-tos --no-eff-email --email yourname@163.com -w /var/www/letsencrypt -d www.mydomain.com

Nginx配置https網站

上一步生成了https所需的的證書。下面將它們配置到Nginx文件中。

/etc/nginx/conf.d/www.mydomain.com.conf增加一個server塊:

server {
    server_name www.mydomain.com;
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    ssl_certificate /etc/letsencrypt/live/www.mydomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/www.mydomain.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/www.mydomain.com/fullchain.pem;
    include /etc/nginx/snippets/ssl.conf;

    root /var/www/www.mydomain.com;
    index index.html;
    location / {
        try_files $uri $uri/ =404;
    }
}

重新加載Nginx:

sudo systemctl reload nginx

這時,應該能通過https訪問網站了。

強制http重定向到https

將Nginx配置文件,http部分,配置為:

server {
        listen 80;
        server_name www.mydomain.com;

        include /etc/nginx/snippets/letsencrypt.conf;

        location / {
                return 301 https://www.mydomain.com$request_uri;
        }
}

定時更新證書

certbot生成的證書是有90天期限的。

可以通過命令,重新生成新的證書:

sudo certbot renew

需要設置定時任務讓renew自動化。

創建文件,/etc/letsencrypt/letsencrypt.sh,當定時任務觸發時調用的腳本文件。

#!/bin/bash
systemctl reload nginx

# If you have other services that use the certificates:
# systemctl restart mosquitto

設置腳本文件可執行權限:

chmod +x /etc/letsencrypt/letsencrypt.sh

編輯cron列表:

sudo crontab -e

增加1行:

20 3 * * * certbot renew --noninteractive --renew-hook /etc/letsencrypt/letsencrypt.sh

任務將在每天3:20執行。

如何查看日志

比如想知道定時任務執行是否成功:

sudo tail -f /var/log/letsencrypt/letsencrypt.log
最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容