|
很早之前我就在關(guān)注 Let's Encrypt 這個(gè)免費(fèi),、自動(dòng)化、開放的證書簽發(fā)服務(wù),。它由 ISRG(Internet Security Research Group,,互聯(lián)網(wǎng)安全研究小組)提供服務(wù),而 ISRG 是來自于美國加利福尼亞州的一個(gè)公益組織,。Let's Encrypt 得到了 Mozilla,、Cisco、Akamai,、Electronic Frontier Foundation 和 Chrome 等眾多公司和機(jī)構(gòu)的支持,,發(fā)展十分迅猛。 申請(qǐng) Let's Encrypt 證書不但免費(fèi),,還非常簡(jiǎn)單,,雖然每次只有 90 天的有效期,但可以通過腳本定期更新,,配好之后一勞永逸,。經(jīng)過一段時(shí)間的觀望,我也正式啟用 Let's Encrypt 證書了,,本文記錄本站申請(qǐng)過程和遇到的問題。 我沒有使用 Let's Encrypt 官網(wǎng)提供的工具來申請(qǐng)證書,,而是用了 acme-tiny 這個(gè)更為小巧的開源工具,。以下內(nèi)容基本按照 acme-tiny 的說明文檔寫的,省略了一些我不需要的步驟,。 ACME 全稱是 Automated Certificate Management Environment,,直譯過來是自動(dòng)化證書管理環(huán)境的意思,,Let's Encrypt 的證書簽發(fā)過程使用的就是 ACME 協(xié)議。有關(guān) ACME 協(xié)議的更多資料可以在這個(gè)倉庫找到,。 創(chuàng)建賬號(hào) 首先創(chuàng)建一個(gè)目錄,,例如 ssl,用來存放各種臨時(shí)文件和最后的證書文件,。進(jìn)入這個(gè)目錄,,創(chuàng)建一個(gè) RSA 私鑰用于 Let's Encrypt 識(shí)別你的身份: openssl genrsa 4096 > account.key 創(chuàng)建 CSR 文件 接著就可以生成 CSR(Certificate Signing Request,證書簽名請(qǐng)求)文件了,。在這之前,,還需要?jiǎng)?chuàng)建域名私鑰(一定不要使用上面的賬戶私鑰),根據(jù)證書不同類型,,域名私鑰也可以選擇 RSA 和 ECC 兩種不同類型,。以下兩種方式請(qǐng)根據(jù)實(shí)際情況二選一。 1)創(chuàng)建 RSA 私鑰(兼容性好): openssl genrsa 4096 > domain.key 2)創(chuàng)建 ECC 私鑰(部分老舊操作系統(tǒng),、瀏覽器不支持,。優(yōu)點(diǎn)是證書體積小): BASH#secp256r1 openssl ecparam -genkey -name secp256r1 | openssl ec -out domain.key #secp384r1 openssl ecparam -genkey -name secp384r1 | openssl ec -out domain.key 有關(guān) ECC 證書的更多介紹,,請(qǐng)點(diǎn)擊這里,。 有了私鑰文件,就可以生成 CSR 文件了,。在 CSR 中推薦至少把域名帶 www 和不帶 www 的兩種情況都加進(jìn)去,,其它子域可以根據(jù)需要添加(目前一張證書最多可以包含 100 個(gè)域名): openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:,DNS:www.")) > domain.csr 執(zhí)行這一步時(shí),如果提示找不到 /etc/ssl/openssl.cnf 文件,,請(qǐng)看看 /usr/local/openssl/ssl/openssl.cnf 是否存在,。如果還是不行,也可以使用交互方式創(chuàng)建 CSR(需要注意 Common Name 必須為你的域名): openssl req -new -sha256 -key domain.key -out domain.csr 配置驗(yàn)證服務(wù) 我們知道,,CA 在簽發(fā) DV(Domain Validation)證書時(shí),,需要驗(yàn)證域名所有權(quán)。傳統(tǒng) CA 的驗(yàn)證方式一般是往 admin@ 發(fā)驗(yàn)證郵件,,而 Let's Encrypt 是在你的服務(wù)器上生成一個(gè)隨機(jī)驗(yàn)證文件,,再通過創(chuàng)建 CSR 時(shí)指定的域名訪問,如果可以訪問則表明你對(duì)這個(gè)域名有控制權(quán),。 首先創(chuàng)建用于存放驗(yàn)證文件的目錄,,例如: mkdir ~/www/challenges/ 然后配置一個(gè) HTTP 服務(wù),以 Nginx 為例: NGINXserver { server_name www. ; location ^~ /.well-known/acme-challenge/ { alias /home/xxx/www/challenges/; try_files $uri =404; } location / { rewrite ^/(.*)$ https:///$1 permanent; } } 以上配置優(yōu)先查找 ~/www/challenges/ 目錄下的文件,,如果找不到就重定向到 HTTPS 地址,。這個(gè)驗(yàn)證服務(wù)以后更新證書還要用到,建議一直保留,。 獲取網(wǎng)站證書 先把 acme-tiny 腳本保存到之前的 ssl 目錄: wget https://raw./diafygi/acme-tiny/master/acme_tiny.py 指定賬戶私鑰,、CSR 以及驗(yàn)證目錄,,執(zhí)行腳本: python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir ~/www/challenges/ > ./signed.crt 如果一切正常,當(dāng)前目錄下就會(huì)生成一個(gè) signed.crt,,這就是申請(qǐng)好的證書文件,。 如果你把域名 DNS 解析放在國內(nèi),這一步很可能會(huì)遇到類似這樣的錯(cuò)誤: ValueError: Wrote file to /home/xxx/www/challenges/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg, but couldn't download http://www./.well-known/acme-challenge/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg 這是因?yàn)槟愕挠蛎芸赡茉趪鉄o法解析,,可以找臺(tái)國外 VPS 驗(yàn)證下,。我的域名最近從 DNSPod 換到了阿里云解析,最后又換到了 CloudXNS,,就是因?yàn)樽罱皟杉以趪舛己懿环€(wěn)定,。如果你也遇到了類似情況,可以暫時(shí)使用國外的 DNS 解析服務(wù)商,,例如 dns.he.net,。如果還是搞不定,也可以試試「Neilpang/le」這個(gè)工具的 DNS Mode,。 搞定網(wǎng)站證書后,,還要下載 Let's Encrypt 的中間證書。我在之前的文章中講過,,配置 HTTPS 證書時(shí)既不要漏掉中間證書,,也不要包含根證書。在 Nginx 配置中,,需要把中間證書和網(wǎng)站證書合在一起: wget -O - https:///certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem cat signed.crt intermediate.pem > chained.pem 為了后續(xù)能順利啟用 OCSP Stapling,,我們?cè)侔迅C書和中間證書合在一起: wget -O - https:///certs/isrgrootx1.pem > root.pem cat intermediate.pem root.pem > full_chained.pem 最終,修改 Nginx 中有關(guān)證書的配置并 reload 服務(wù)即可: ssl_certificate ~/www/ssl/chained.pem; ssl_certificate_key ~/www/ssl/domain.key; Nginx 中與 HTTPS 有關(guān)的配置項(xiàng)很多,,這里不一一列舉了,。如有需要,請(qǐng)參考本站配置,。 配置自動(dòng)更新 Let's Encrypt 簽發(fā)的證書只有 90 天有效期,,推薦使用腳本定期更新。例如我就創(chuàng)建了一個(gè) renew_cert.sh 并通過 chmod a+x renew_cert.sh 賦予執(zhí)行權(quán)限,。文件內(nèi)容如下: BASH#!/bin/bash cd /home/xxx/www/ssl/ python acme_tiny.py --account-key account.key --csr domain.csr --acme-dir /home/xxx/www/challenges/ > signed.crt || exit wget -O - https:///certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem cat signed.crt intermediate.pem > chained.pem service nginx reload crontab 中使用絕對(duì)路徑比較保險(xiǎn),,crontab -e 加入以下內(nèi)容: 0 0 1 * * /home/xxx/shell/renew_cert.sh >/dev/null 2>&1 這樣以后證書每個(gè)月都會(huì)自動(dòng)更新,一勞永逸,。實(shí)際上,,Let's Encrypt 官方將證書有效期定為 90 天一方面是為了更安全,更重要的是鼓勵(lì)用戶采用自動(dòng)化部署方案,。 幾個(gè)問題 Let's Encrypt 證書的兼容性,,所有操作系統(tǒng)、瀏覽器默認(rèn)是否都能識(shí)別是大家最關(guān)心的問題。實(shí)際上,,由于 Let's Encrypt 與 IdenTrust 的 DST Root CA 做了交叉認(rèn)證,兼容性還是不錯(cuò)的,,目前我只是發(fā)現(xiàn)在 Android 2 和 Windows XP 下有問題(Firefox 的證書那一套是自己實(shí)現(xiàn)的,,不依賴于系統(tǒng),XP 下只有 Firefox 信任 Let's Encrypt 證書),,其它環(huán)境都正常,。 letsencrypt intermediate cert on winxp(Windows XP 不信任 Let's Encrypt 的中間證書) 更新:根據(jù) Let's Encrypt 官方說明,Windows XP 下的問題很快就會(huì)解決: A bug in Windows XP causes parsing of our current cross-signature from IdenTrust to fail. We will be correcting this by getting new cross-signatures from IdenTrust which work on Windows XP. 注:已于 2016 年 3 月 26 日解決,。 另外一個(gè)問題有關(guān) ECC 證書,,官網(wǎng)表示計(jì)劃將在 2016 年提供對(duì) ECC 證書的支持: Right now all of our root and intermediate keys use RSA. We're planning to generate ECC keys and make an ECC option available to subscribers in 2016. via 注:Let's Encrypt 已于 2016 年 2 月 11 日開始支持簽發(fā) ECC 證書。 Let's Encrypt 官方的新特性預(yù)告可以在這個(gè)頁面查看,。 我個(gè)人建議:對(duì)于個(gè)人用戶來說,,如果非常在意證書兼容性,可以購買 RapidSSL Standard 或者 Comodo Positive SSL 這兩種證書,。其中 RapidSSL 證書一共才三級(jí),,比較小,;Comodo Positive 有四級(jí),,但可以申請(qǐng) ECC 證書;二者都有著不錯(cuò)的兼容性,,也非常廉價(jià)(一年不到 10$),。當(dāng)然,如果不用考慮 Windows XP 用戶,,那么強(qiáng)烈推薦 Let's Encrypt,! 更新:Let's Encrypt 已經(jīng)支持 Windows XP 和簽發(fā) ECC 證書,對(duì)于個(gè)人用戶來說,,目前 Let's Encrypt 無疑是最好的選擇,。 本文先寫到這里,如果你在申請(qǐng) Let's Encrypt 證書的過程中遇到問題,,可以給我留言,,也歡迎交流各種心得! 本文鏈接:https:///post/letsencrypt-certificate.html --EOF--
|
|
|
