APACHE2站点支持HTTPS加密

2017年1月1日起,苹果强制所有 app 满足 HTTPS,即 iOS9 推出的 App Transport Security (ATS) 特性。

新浪微博最近推消息要求合作方提供https的链接;所以支持HTTPS势不可挡啊

letsencrypt是一个提供开源免费自动证书授权服务的网站;使用letsencrypt提供的证书在站点安装完成后,在chrome下查看颁发的证书信息如下:

cert_info.png

安装letsencrypt的证书过程主要参考文章 Let's Encrypt,站点加密之旅使用acme-tiny脚本进行部署;原文对在APACHE下的部署有描述不清的地方,后面详细说明下;

获取证书前的准备:

克隆脚本、创建Let's Encrypt私钥、创建CSR文件等主要过程命令

git clone https://github.com/diafygi/acme-tiny.git  
cd acme-tiny
chmod +x acme_tiny.py
openssl genrsa 4096 > account.key
openssl genrsa 4096 > domain.key   
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
// 将需要加密的域名加到下面的代码中,目前一张证书最多可以加密 100 个域名:
// 注意: abc.com 和 www.abc.com 是两个域名
// acme-tiny脚本会对列出的所有域名进行验证;所以按需配置
openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yoursite.com,DNS:www.yoursite.com")) > domain.csr

获取签名证书:

acme-tiny脚本会生成验证文件并写入到你指定的目录下,然后通过http来访问 ".well-known/acme-challenge/" 这个URL来访问验证文件,以证明你对该域名有访问权限,因此你需要保证服务器80端口能够访问.并且能够通过认证。

如果站点提供的是静态服务,则需要将文件生成到文档根目录下.well-known/acme-challenge/子目录中,或者修改apache的rewrite规则来通过验证;
如果是动态服务器,需要响应".well-known/acme-challenge"并回写文件内容。
nginx可以配置alias:

server {
    ....
    location /.well-known/acme-challenge/ {
        alias /var/www/challenges/;
        try_files $uri =404;
    }
    ....
}

RAILS服务可以修改config文件和application_controller.rb响应:

# --routes.rb
# for Let's Encrypt auth
get ".well-known/acme-challenge/:file" => "application#acmeauth"

# --application_controller.rb
# for Let's Encrypt auth
def acmeauth
  file = Pathname.new('/var/www/acme-tiny-challenges').join(params[:file])
  render text: File.read(file) and return if File.exist?(file)
  render text:""
end

获取签名证书(请修改命令里面的的acme-dir参数):

python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /var/www/challenges/ > ./signed.crt
cat signed.crt intermediate.pem > chained.pem

安装证书(apache2);

nginx下安装证书请访问文章 Let's Encrypt,站点加密之旅

 server {
        listen 443;
        server_name yoursite.com www.yoursite.com;

        ssl on;
        ssl_certificate /path/to/chained.pem;
        ssl_certificate_key /path/to/domain.key;
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
        ssl_session_cache shared:SSL:50m;
        ssl_prefer_server_ciphers on;

        #...你的其他配置
    }

修改下面配置中的SSLCertificateFile和SSLCertificateKeyFile字段即可

<IfModule mod_ssl.c>
  <VirtualHost _default_:443>
    
    DocumentRoot /var/www/abc/public
    <Directory /var/www/abc/public>
      Options Indexes FollowSymLinks MultiViews
      AllowOverride all
      Order allow,deny
      allow from all
    </Directory>
    ...

    SSLEngine on
    SSLCertificateFile      .../acme-tiny/chained.pem
    SSLCertificateKeyFile   .../acme-tiny/domain.key
    ...
  </VirtualHost>
</IfModule>

修改http访问(可选)

如果需要将所有http的访问改成https访问;则需修改 .htaccess 文件配置301重定向:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

此时重启APACHE2服务,网站已经可以支持HTTPS访问;

检测是否完全支持ATS

腾讯云提供了苹果ATS检测; 部署完成后可以使用该服务检测下;

txy_check.png

检查通过~

自动更新

Let's Encrypt 证书有效期只有90天, 所以需要写一个更新脚本renew_cert.sh,并定时执行。

#!/usr/bin/sh

python /path/to/acme_tiny.py --account-key /path/to/account.key --csr /path/to/domain.csr --acme-dir /var/www/challenges/ > /tmp/signed.crt || exit

wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem

cat /tmp/signed.crt intermediate.pem > /path/to/chained.pem

service apache2 reload

定时任务可以设置为每个月执行一次:
0 0 1 * * /path/to/renew_cert.sh 2>> /var/log/acme_tiny.log

参考链接:
Let’s Encrypt
腾讯云苹果ATS检测
原文

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 218,941评论 6 508
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 93,397评论 3 395
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 165,345评论 0 356
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 58,851评论 1 295
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 67,868评论 6 392
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 51,688评论 1 305
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 40,414评论 3 418
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 39,319评论 0 276
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,775评论 1 315
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,945评论 3 336
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 40,096评论 1 350
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,789评论 5 346
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 41,437评论 3 331
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,993评论 0 22
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 33,107评论 1 271
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 48,308评论 3 372
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 45,037评论 2 355

推荐阅读更多精彩内容