免費HTTPS搭建

2015年的時候,iOS9需要適配ATS。那是第一次接觸HTTPS。后來,公司網站需要HTTPS,找了一篇教程搭建了一次。最近,HTTPS證書更新,于是找出了以前的筆記,重新整了一遍,發出來。

需要說明的是,我們這HTTPS簽名的是Let's Encrypt,它是一家免費、自動化、開放的證書頒發機構(CA)。

基本步驟如下:

1、首先,克隆項目

sudo git clone https://github.com/diafygi/acme-tiny.git
cd acme-tiny

2、創建私鑰

openssl genrsa 4096 > account.key
# 創建域名私鑰
openssl genrsa 4096 > domain.key

3、創建請求證書

若是單個域名,則使用下面命令:

#單個域名
openssl req -new -sha256 -key domain.key -subj "/CN=yoursite.com" > domain.csr

若是多個域名,則先創建一個配置文件,例如test.conf,配置內容示例如下:

[ req ]
distinguished_name  = req_distinguished_name
req_extensions     = req_ext

[ req_distinguished_name ]
commonName_default = xx(常用名稱)
commonName_max        = 64
organizationName_default = 公司名字
organizationalUnitName_default  = xxx
localityName_default  = Beijing
stateOrProvinceName_default = Beijing
countryName_default   = CN

[ req_ext ]
subjectAltName          = @alt_names

[alt_names]
DNS.1   = admin.liuchungui.com
DNS.2   = test.liuchungui.com

上面有很多字段沒有填寫,可以自行補齊。運行下面命令生成請求證書:

openssl req -new -sha512 -nodes -key domain.key -out domain.csr -config test.conf -batch -subj "/"

需要說明的是,多域名使用批量生成請求證書,請求證書簽名驗證的時候,會一個一個域名進行驗證。

4、創建網站服務器challenge,用來進行驗證

這里,和免費 HTTPS 證書 Let's Encrypt 初體驗的內容一樣。

Let’s Encrypt 要求你必須證明簽名的域名是屬于你的,所以需要在服務器上驗證一些文件。腳本會幫你生成這些文件到你指定的文件夾中,我們要做的就是確保 .well-known/acme-challenge/(驗證的時候會訪問 yourdomian.com/.well-known/acme-challenge/) url 對應的是這個文件夾。提示:默認是發送 http 請求到 80 端口,所以最好是用 HTTP 服務(重定向到 HTTPS 也是可以的)。

首先,創建challenge目錄

mkdir -p /var/www/challenges/

然后,配置nginx

#example for nginx
server {
    listen 80;
    server_name a.yoursite.com b.yoursite.com;

    location /.well-known/acme-challenge/ {
        alias /var/www/challenges/;
        try_files $uri =404;
    }
}

最后,進行驗證

echo 123123 > /var/www/challenges/test.txt && curl http://yourdomian.com/.well-known/acme-challenge/test.txt

5、簽名驗證

python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /var/www/challenges/ > ./signed.crt

6、安裝證書

安裝證書前,需要將Let's Encrypt 中間證書加到證書中

wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem

7、驗證證書一致性

root@iZ238n5r3z9Z:~/acme-tiny# openssl x509 -noout -modulus -in chained.pem | openssl md5
(stdin)= 92be1484c4605ffc1c8965afe50c4650
root@iZ238n5r3z9Z:~/acme-tiny# openssl rsa -noout -modulus  -in domain.key | openssl md5
(stdin)= 92be1484c4605ffc1c8965afe50c4650

上面輸出的md5一樣,則說明證書一致了。

8、ngnix配置

server {
        listen       443;
        server_name  a.yourdomian.com;
        #charset koi8-r;#access_log  logs/host.access.log  main;ssl                  on;

        ssl_certificate      /root/acme-tiny/chained.pem;
        ssl_certificate_key  /root/acme-tiny/domain.key;

        ssl_session_timeout  5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
            ssl_session_cache shared:SSL:50m;
            ssl_prefer_server_ciphers on;
        #other config
}

遇到問題

1、生成請求證書的時候,碰到了140220875978400:error:04075070:rsa routines:RSA_sign:digest too big for rsa key問題。

后來在我的mac電腦上試了下,發現沒有問題。看了下服務器的openssl版本,是1.0.1f,而我本地mac電腦的openssl版本是1.0.2l,于是,將服務器的openssl升級到1.0.2l就可以了。

升級openssl 1.0.2l步驟如下:

wget http://www.openssl.org/source/openssl-1.0.2l.tar.gz  
tar zxvf openssl-1.0.2l.tar.gz  
cd openssl-1.0.2l
./config --prefix=/usr/local/openssl  
make && make install  
mv /usr/bin/openssl /usr/bin/openssl.old
mv /usr/include/openssl /usr/include/openssl.old
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl  
ln -s /usr/local/openssl/include/openssl /usr/include/openssl  
echo "/usr/local/openssl/lib">>/etc/ld.so.conf  
ldconfig -v  
openssl version -a

2、簽名時報錯,遇到下面錯誤:

Traceback (most recent call last):
  File "acme_tiny.py", line 198, in <module>
    main(sys.argv[1:])
  File "acme_tiny.py", line 194, in main
    signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca)
  File "acme_tiny.py", line 92, in get_crt
    raise ValueError("Error registering: {0} {1}".format(code, result))
ValueError: Error registering: 400 {
  "type": "urn:acme:error:malformed",
  "detail": "Provided agreement URL [https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf] does not match current agreement URL [https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf]",
  "status": 400
}

解決方法:更新acme-tiny.git倉庫代碼就行了。

git pull origin master

參考

免費 HTTPS 證書 Let's Encrypt 初體驗

nginx reload報錯SSL: error:0B080074:x509

CentOS升級openssl版本至openssl-1.0.2詳細操作

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容