转载 原文地址

本文记录了利用 Let’s Encrypt，免费全站开启 HTTPS 协议。

关于HTTPS

HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版，即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。
HTTPS优势：安全传输，有效阻止运营商劫持并注入广告，以及提供 HTTP/2 协议的支持，详情自行 Google

关于免费证书发放机构

Let’s Encrypt，是2016年4月12日成立的一家证书授权中心，提供免费的传输层安全（TLS）X.509证书，通过自动化的过程消除目前安全网站证书需要手工创建，加密，签名，安装以及更新的复杂性。

开启 HTTPS 操作步骤如下 ↓

Let’s Encrypt 的官网提供了更为自动化的脚本，但本文借鉴的是作者：Macken 提供的方法，采用Github上的一个开源脚本acme-tiny。
本文基于社区企业操作系统CentOS和高性能的HTTP和反向代理服务器Nginx，其他Linux版本理论上是可行的，但未尝试。

克隆脚本

➜ ~ sudo git clone https://github.com/diafygi/acme-tiny.git  
➜ ~ cd acme-tiny // 下面的操作都在这个目录！

创建Let’s Encrypt私钥

➜ ~ openssl genrsa 4096 > account.key

创建CSR(Certificate Signing Request，证书签名请求) 文件

ACME协议 (Let’s Encrypt所使用的) 需要一个csr文件，用来进行证书签名和证书更新。

将需要加密的域名加到下面的代码中，目前一张证书最多可以加密 100 个域名，足够普通用户使用：

// acme-tiny 目录执行
➜ ~ openssl genrsa 4096 > domain.key     
➜ ~ openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:jandou.com,DNS:www.jandou.com")) > domain.csr

注意：openssl.cnf 文件的位置可能会因为linux版本的不同而有变，自行搜索得到路径 >>tips

证明你拥有该域名

acme-tiny脚本会生成验证文件并写入到你指定的目录下，然后通过 “.well-known/acme-challenge/“ 这个URL来访问到验证文件。

注意：Let’s Encrypt 会对你的服务器做一次http请求来进行验证，因此你需要保证80端口能够访问。

• 手动生成challenges目录，用来存放验证文件（路径可以根据需要修改）

  ➜ ~ mkdir -p /var/www/challenges
  

• 配置nignx的80端口

  修改 Nginx 默认配置 /usr/local/nginx/conf/nginx.conf 中的server段，注意备份：

  server {
      listen 80;
      server_name jandou.com www.jandou.com;
      location /.well-known/acme-challenge/ {
          alias /var/www/challenges/;
          try_files $uri =404;
      }
  }
  

暂时清除虚拟主机配置

暂时清除虚拟主机配置，避免下一步获取签名证书 Download失败。

<div class="tip">注意：先备份，再删除/usr/local/nginx/conf/vhost/下的虚拟配置。</div>

获取签名证书

//acme-tiny 目录执行
➜ ~ sudo chmod +x acme_tiny.py  
➜ ~ python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /var/www/challenges/ > ./signed.crt

注意：如果下载出错，则是Nginx的默认配置有误，或虚拟主机配置冲突导致。

安装证书

针对nginx, 你还需要将 Let’s Encrypt 的中间件证书 intermediate.pem 内容附加在签名证书signed.crt之后：

// acme-tiny 目录执行
➜ ~ wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
➜ ~ cat signed.crt intermediate.pem > chained.pem

成功之后，恢复 Nginx 默认配置和虚拟主机配置，并重启 Nginx

➜ ~ lnmp reload // lnmp系列软件全部重载
➜ ~ service nginx reload // 仅重启 `Nginx`

恭喜！你的网站已经使用上了HTTPS。 但Let’s Encrypt 证书有效期只有90天, 所以需要定期更新。现在只需要写一个更新脚本并把它放到定时任务中即可 >> tips

Tips

• 搜索文件技巧

  //根目录搜索`nginx.conf`
  find / -name 'nginx.conf'
  

• 证书自动更新定时任务

  脚本renew_cert.sh负责一键更新，我将其存放在 root 目录下，脚本内容：

  !/usr/bin/sh
  python /root/openssl/acme-tiny/acme_tiny.py --account-key /root/openssl/acme-tiny/account.key --csr 
  /root/openssl/acme-tiny/domain.csr --acme-dir /var/www/challenges/ > /tmp/signed.crt || exit
  wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
  cat /tmp/signed.crt intermediate.pem > /root/openssl/acme-tiny/chained.pem
  service nginx reload
  

  定时任务可以设置为每个月执行一次：

  ➜ ~ 0 0 1 * * sudo bash /path/to/renew_cert.sh 2>> /var/log/acme_tiny.log
  

  如果没有定时更新，可以直接执行该脚本. renew_cert.sh

  可能 Download 失败，参考上面配置nignx的80端口，修改 Nginx 默认配置。

参考

鸣谢：Let’s Encrypt，站点加密之旅 laravel-china.org （如遇到问题可参考该链接下的讨论）
原稿：Let’s Encrypt，站点加密之旅