acme.sh + Let's Encrypt + nginx 配置通配符HTTPS

环境说明

  • 域名为万网注册域名
  • 服务器Ubuntu 16.04

通过acme.sh方式获取证书

  • 获取acme.sh
curl https://get.acme.sh | sh
acme.sh
  • 如果acme.sh 命令未找到
source ~/.bashrc
# zsh 下
source ~/.zshrc
  • 申请签发 SSL 证书
    acme.sh强大之处在于,可以自动配置DNS,不用去域名后台操作解析记录了。下面以万网域名的操作为例

    # 替换成从阿里云后台获取的密钥
    export Ali_Key="xxx"
    export Ali_Secret="xxxxxxxx"
    # 换成自己的域名
    acme.sh --issue --dns dns_ali -d xxx.com -d *.xxx.com
    

    获取Ali_Key 和 Ali_Secret的方法
    其他地方注册的请参考这里
    如果在zsh环境下报 zsh: no matches found: *.xxx.com 的错误

    vim ~/.zshrc
    # 在文件上追加 setopt no_nomatch
    source ~/.zshrc
    

    证书申请成功之后会出现如下的信息

    [Mon Apr 30 15:35:14 CST 2018] Your cert is in  /root/.acme.sh/xxx.com/xxx.com.cer
    [Mon Apr 30 15:35:14 CST 2018] Your cert key is in  /root/.acme.sh/xxx.com/xxx.com.key
    [Mon Apr 30 15:35:14 CST 2018] The intermediate CA cert is in  /root/.acme.sh/xxx.com/ca.cer
    [Mon Apr 30 15:35:14 CST 2018] And the full chain certs is there:  /root/.acme.sh/xxx.com/fullchain.cer
    

    申请的证书会放到 ~/.acme.sh/ 目录里面,所有的 acme.sh 配置都记录在 ~/.acme.sh/ 目录里面,acme.sh 有自动的配置读取,并按域名划分,下次你再次执行的时候,它知道你之前是用的那个目录,只需要告诉它域名就好了。

  • 安装证书

    acme.sh --installcert -d xxx.com \
                 --keypath       /data/nginx/ssl/xxx.com.key  \
                 --fullchainpath /data/nginx/ssl/xxx.com.key.pem \
                 --reloadcmd     "/data/nginx/sbin/nginx -s reload"
    # /data/nginx/ssl/ 是证书安装目录
    # reloadcmd 是nginx 的reload 命令
    

    这个比较重要,因为它会让 acme.sh 记住重启 Nginx 的命令,以后自动更新证书的动作需要重启 Nginx,然后你会看到结果

    [Mon Apr 30 16:19:32 CST 2018] Installing key to:/data/nginx/ssl/xxx.com.key
    [Mon Apr 30 16:19:32 CST 2018] Installing full chain to:/data/nginx/ssl/xxx.com.key.pem
    [Mon Apr 30 16:19:32 CST 2018] Run reload cmd: /data/nginx/sbin/nginx -s reload
    [Mon Apr 30 16:19:32 CST 2018] Reload success
    
  • 配置nginx
    生成 dhparam.pem 文件

    openssl dhparam -out /data/nginx/ssl/dhparam.pem 2048
    

    修改 Nginx 启用 SSL

    http {
      # 新增
      ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
      ssl_prefer_server_ciphers on;
      # 兼容其他老浏览器的 ssl_ciphers 设置请访问 https://wiki.mozilla.org/Security/Server_Side_TLS
    
      server {
        listen 80 default_server;
        # 新增
        listen 443 ssl;
        ssl_certificate         /data/nginx/ssl/www.xxx.com.key.pem;
        ssl_certificate_key     /data/nginx/ssl/www.xxx.com.key;
        # ssl_dhparam 
        ssl_dhparam             /data/nginx/ssl/dhparam.pem;
    
        # 其他省略
      }
    }
    

    检查 Nginx 配置是否正确后重启

    /data/nginx/sbin/nginx -t
    # 检查无误后,重启nginx
    /data/nginx/sbin/nginx -s reload
    
  • 验证 SSL
    访问 ssllabs.com 输入你的域名,检查 SSL 的配置是否都正常:
    https://ssllabs.com/ssltest/analyze.html?d=xxx.com
    确保验证结果有 A 以上,否则根据提示调整问题

  • 一些注意事项
    ssl_dhparam 未配置,将导致 ssllabs.com 的评分降到 B,并给 This server supports weak Diffie-Hellman (DH) key exchange parameters. Grade capped to B. 的警告。
    ssl_prefer_server_ciphers on 也是一个必要的配置,否则会 A+ 变成 A-;*
    如果你需要兼容老系统或老浏览器的话,你需要配置 ssl_ciphers,详见 Mozilla Server_Side_TLS 的介绍,Nginx 里面 ssl_ciphers 默认值是 HIGH:!aNULL:!MD5; ref

  • 参考
    https://github.com/Neilpang/acme.sh
    https://my.oschina.net/kimver/blog/1634575
    https://ruby-china.org/topics/31983

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,588评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,456评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,146评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,387评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,481评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,510评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,522评论 3 414
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,296评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,745评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,039评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,202评论 1 343
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,901评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,538评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,165评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,415评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,081评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,085评论 2 352

推荐阅读更多精彩内容