如何为你的WWW站点启用HTTPS?

1. 前言

本文环境为Ubuntu LTS 16.04,已经安装配置好了Nginx,http可以访问。目标是为该网站启用HTTPS,增强站点安全性。

2. 解决方案

目前获取安全证书的方案有三:

  1. 购买主流安全厂商签发的安全证书,需要费用;
  2. 使用自己签发的证书,不需要费用,但浏览器会报警告;
  3. 使用Let's Encrypt证书机构颁发的免费证书,不需要费用,浏览器不报警,但只有三个月有效期,需要人工续订

本文中将采取第三种方式。

3. 获取证书

Let's Encrypt证书机构颁发的免费证书对任何人都是开放的,所以在获取证书的过程中会验证证书申请人是否对网站有控制权,例如,能否在WWW主机上执行获取证书程序。

另外,网站应保持启动,域名有效,80端口可被外界访问。

具体访问步骤如下:

  1. 访问certbot网站(https://certbot.eff.org/

  2. 在页面中选择WWW服务器软件类型(例如Nginx)和操作系统(例如Ubuntu 16.04)

    2018-08-06-11-48-56.png

  3. 按照页面下方会显示步骤执行

    2018-08-06-11-51-18.png

  4. 设置自动化证书续订

    2018-08-06-11-52-50.png

    查看/etc/cron.d/目录,下面有个certbot脚本,表明该脚本会每天执行,查看脚本内容,发现该脚本每12小时执行一次.

    0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew

4. 日志记录

本文忽略了安装前提软件的执行过程,同时因为系统中有多个站点,所以还是希望能够获取到证书后自行配置启用HTTPS。以下主要是命令sudo certbot --nginx certonly的日志记录。过程中需要回答一些问题。

```log
osadmin@mytest:~$ sudo certbot --nginx certonly
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel): mytest@qq.com
Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(A)gree/(C)ancel: A

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y
Starting new HTTPS connection (1): supporters.eff.org

Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: mytest.chinanorth.cloudapp.chinacloudapi.cn
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 1
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for mytest.chinanorth.cloudapp.chinacloudapi.cn
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/mytest.chinanorth.cloudapp.chinacloudapi.cn/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/mytest.chinanorth.cloudapp.chinacloudapi.cn/privkey.pem
Your cert will expire on 2018-11-04. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- If you like Certbot, please consider supporting our work by:

Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
Donating to EFF:                    https://eff.org/donate-le
```

根据日志可以看到,证书为/etc/letsencrypt/live/mytest.chinanorth.cloudapp.chinacloudapi.cn/fullchain.pem,
key文件为/etc/letsencrypt/live/mytest.chinanorth.cloudapp.chinacloudapi.cn/privkey.pem,证书过期日期为2018-11-04。自动续订的命令为certbot renew

查看Linux系统还可发现,只有root可以操作/etc/letsencrypt/live目录。

5. 使用证书

5.1 证书更新

编辑Nginx的配置文件,将证书信息更新到配置之中。

    listen 443 ssl;
    server_name mytest.chinanorth.cloudapp.chinacloudapi.cn;

    ssl_certificate           /etc/letsencrypt/live/mytest.chinanorth.cloudapp.chinacloudapi.cn/fullchain.pem;
    ssl_certificate_key       /etc/letsencrypt/live/mytest.chinanorth.cloudapp.chinacloudapi.cn/privkey.pem;

    ssl on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;

5.2 重新启动Nginx验证

重新访问站点,如下图所示,表明HTTPS启用成功。

2018-08-06-12-24-02.png

5.3 强制站点HTTPS访问

用户默认访问HTTP站点,为了让用户访问HTTP时自动跳转到HTTPS,需要编辑Nginx的配置文件,如下:

server {
    listen 80;
    server_name mytest.chinanorth.cloudapp.chinacloudapi.cn;

    return 301 https://$host$request_uri;
}

重新启动Nginx验证

6. 结论

使用certbot可以极大程度简化证书的获取过程,而自动化续订更是极大的方便了系统运维人员,并确保站点始终安全运行。

据调查,29%的TLS应用都使用了有效期为90天的证书,所以Let's Encrypt的证书有效期只有90天。有效期为90天和1年对数据加密并无影响,但较短的有效期能够降低证书被盗用的风险,并且有助于推动证书续订自动化。

通过查看证书的详细信息,可以发现免费签发的证书是只验证域名所有权,而不验证所有者和机构的。所以这类证书也叫做DV(Domain Validated)证书。校验所有者的证书叫做OV(Owner Validated)证书。此外,金融类等机构要求超级安全的证书,要求更加严格的身份验证标准,也叫EV(Extend Validated)证书。

©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,463评论 6 497
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,868评论 3 391
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 161,213评论 0 351
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,666评论 1 290
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,759评论 6 388
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,725评论 1 294
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,716评论 3 415
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,484评论 0 270
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,928评论 1 307
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,233评论 2 331
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,393评论 1 345
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,073评论 5 340
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,718评论 3 324
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,308评论 0 21
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,538评论 1 268
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,338评论 2 368
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,260评论 2 352

推荐阅读更多精彩内容