let's encrypt基礎(chǔ)知識

• let's encrypt是一個認證機構(gòu)（Certificate Authority = CA）
• 想使用HTTPS需要認證機構(gòu)頒發(fā)的電子證書
• Let’s Encrypt和其他認證機構(gòu)的區(qū)別（或者說是賣點）：
  • 免費，Let’s Encrypt提供期限是90天的免費電子證書
  • 提供工具certbot自動生成電子證書文件
• Let's Encrypt為了自動生成電子證書搞了一個ACME協(xié)議
  • Automatic Certificate Management Environment=ACME，自動認證管理環(huán)境協(xié)議
  • 協(xié)議草案已經(jīng)提交IETF
  • ACME協(xié)議的基本思路是：
    • 在你服務(wù)器上生成一次性的隨機特征數(shù)據(jù)(nonce)
    • 然后通過Let’s Encrypt的服務(wù)器核對這個數(shù)據(jù)
    • 核對成功發(fā)放證書
    • 有兩種方式，HTTP和DNS，一般使用的是前者

安裝和le t's encrypt

本文使用的環(huán)境是：

• Ubuntu 16.04 Server
• Nginx 1.12.0
• certbot，let's encrypt提供的工具

本文安裝配置，基本參考了以下兩篇文章：

• certbot 官方安裝文檔
• How to setup Let's Encrypt for Nginx on Ubuntu 16.04

需要先配置好Nginx和需要HTTPS的網(wǎng)站

比如：http://www.mydomain.com，已經(jīng)正確配置Nginx，正常訪問了。

本文以下就以www.mydomian.com域名的網(wǎng)站為例，說明如何配置https。

選擇webroot方式

certbot提供了兩種安裝配置方式：

• webroot，在已存在的Nginx上配置https
• standalone，certbot幫助創(chuàng)建帶https的Nginx

我們使用webroot方式。

創(chuàng)建letsencrypt.conf

創(chuàng)建文件：/etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ {
        default_type "text/plain";
        root /var/www/letsencrypt;
}

創(chuàng)建配置文件需要的目錄：

sudo mkdir -p /var/www/letsencrypt/.well-known/acme-challenge

創(chuàng)建ssl.conf

創(chuàng)建文件：/etc/nginx/snippets/ssl.conf

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;

ssl_protocols TLSv1.2;
ssl_ciphers EECDH+AESGCM:EECDH+AES;
ssl_ecdh_curve secp384r1;
ssl_prefer_server_ciphers on;

ssl_stapling on;
ssl_stapling_verify on;

add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

修改http網(wǎng)站的配置

找到www.mydomain.com網(wǎng)站在Nginx上的配置文件，比如 /etc/nginx/conf.d/www.mydomain.com.conf

server {
        listen 80;
        server_name www.mydomain.com;

        include /etc/nginx/snippets/letsencrypt.conf; # 需要增加的內(nèi)容

        root /var/www/www.mydomain.com;
        index index.html;
        location / {
                try_files $uri $uri/ =404;
        }
}

配置好后，重新加載Nginx：

sudo systemctl reload nginx

安裝certbot

sudo apt-get install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install certbot

certbot執(zhí)行對域名的認證

certbot certonly --webroot --agree-tos --no-eff-email --email yourname@163.com -w /var/www/letsencrypt -d www.mydomain.com

Nginx配置https網(wǎng)站

上一步生成了https所需的的證書。下面將它們配置到Nginx文件中。

/etc/nginx/conf.d/www.mydomain.com.conf增加一個server塊：

server {
    server_name www.mydomain.com;
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    ssl_certificate /etc/letsencrypt/live/www.mydomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/www.mydomain.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/www.mydomain.com/fullchain.pem;
    include /etc/nginx/snippets/ssl.conf;

    root /var/www/www.mydomain.com;
    index index.html;
    location / {
        try_files $uri $uri/ =404;
    }
}

重新加載Nginx：

sudo systemctl reload nginx

這時，應(yīng)該能通過https訪問網(wǎng)站了。

強制http重定向到https

將Nginx配置文件，http部分，配置為：

server {
        listen 80;
        server_name www.mydomain.com;

        include /etc/nginx/snippets/letsencrypt.conf;

        location / {
                return 301 https://www.mydomain.com$request_uri;
        }
}

定時更新證書

certbot生成的證書是有90天期限的。

可以通過命令，重新生成新的證書：

sudo certbot renew

需要設(shè)置定時任務(wù)讓renew自動化。

創(chuàng)建文件，/etc/letsencrypt/letsencrypt.sh，當定時任務(wù)觸發(fā)時調(diào)用的腳本文件。

#!/bin/bash
systemctl reload nginx

# If you have other services that use the certificates:
# systemctl restart mosquitto

設(shè)置腳本文件可執(zhí)行權(quán)限：

chmod +x /etc/letsencrypt/letsencrypt.sh

編輯cron列表：

sudo crontab -e

增加1行：

20 3 * * * certbot renew --noninteractive --renew-hook /etc/letsencrypt/letsencrypt.sh

任務(wù)將在每天3:20執(zhí)行。

如何查看日志

比如想知道定時任務(wù)執(zhí)行是否成功：

sudo tail -f /var/log/letsencrypt/letsencrypt.log