使用let's encrypt工具配置Nginx HTTPS

let's encrypt基础知识

  • let's encrypt是一个认证机构(Certificate Authority = CA)
  • 想使用HTTPS需要认证机构颁发的电子证书
  • Let’s Encrypt和其他认证机构的区别(或者说是卖点):
    • 免费,Let’s Encrypt提供期限是90天的免费电子证书
    • 提供工具certbot自动生成电子证书文件
  • Let's Encrypt为了自动生成电子证书搞了一个ACME协议
    • Automatic Certificate Management Environment=ACME,自动认证管理环境协议
    • 协议草案已经提交IETF
    • ACME协议的基本思路是:
      • 在你服务器上生成一次性的随机特征数据(nonce)
      • 然后通过Let’s Encrypt的服务器核对这个数据
      • 核对成功发放证书
      • 有两种方式,HTTP和DNS,一般使用的是前者

安装和le t's encrypt

本文使用的环境是:

  • Ubuntu 16.04 Server
  • Nginx 1.12.0
  • certbot,let's encrypt提供的工具

本文安装配置,基本参考了以下两篇文章:


需要先配置好Nginx和需要HTTPS的网站

比如:http://www.mydomain.com,已经正确配置Nginx,正常访问了。

本文以下就以www.mydomian.com域名的网站为例,说明如何配置https。


选择webroot方式

certbot提供了两种安装配置方式:

  • webroot,在已存在的Nginx上配置https
  • standalone,certbot帮助创建带https的Nginx

我们使用webroot方式。


创建letsencrypt.conf

创建文件:/etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ {
        default_type "text/plain";
        root /var/www/letsencrypt;
}

创建配置文件需要的目录:

sudo mkdir -p /var/www/letsencrypt/.well-known/acme-challenge

创建ssl.conf

创建文件:/etc/nginx/snippets/ssl.conf

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;

ssl_protocols TLSv1.2;
ssl_ciphers EECDH+AESGCM:EECDH+AES;
ssl_ecdh_curve secp384r1;
ssl_prefer_server_ciphers on;

ssl_stapling on;
ssl_stapling_verify on;

add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

修改http网站的配置

找到www.mydomain.com网站在Nginx上的配置文件,比如 /etc/nginx/conf.d/www.mydomain.com.conf

server {
        listen 80;
        server_name www.mydomain.com;

        include /etc/nginx/snippets/letsencrypt.conf; # 需要增加的内容

        root /var/www/www.mydomain.com;
        index index.html;
        location / {
                try_files $uri $uri/ =404;
        }
}

配置好后,重新加载Nginx:

sudo systemctl reload nginx

安装certbot

sudo apt-get install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install certbot

certbot执行对域名的认证

certbot certonly --webroot --agree-tos --no-eff-email --email yourname@163.com -w /var/www/letsencrypt -d www.mydomain.com

Nginx配置https网站

上一步生成了https所需的的证书。下面将它们配置到Nginx文件中。

/etc/nginx/conf.d/www.mydomain.com.conf增加一个server块:

server {
    server_name www.mydomain.com;
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    ssl_certificate /etc/letsencrypt/live/www.mydomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/www.mydomain.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/www.mydomain.com/fullchain.pem;
    include /etc/nginx/snippets/ssl.conf;

    root /var/www/www.mydomain.com;
    index index.html;
    location / {
        try_files $uri $uri/ =404;
    }
}

重新加载Nginx:

sudo systemctl reload nginx

这时,应该能通过https访问网站了。


强制http重定向到https

将Nginx配置文件,http部分,配置为:

server {
        listen 80;
        server_name www.mydomain.com;

        include /etc/nginx/snippets/letsencrypt.conf;

        location / {
                return 301 https://www.mydomain.com$request_uri;
        }
}

定时更新证书

certbot生成的证书是有90天期限的。

可以通过命令,重新生成新的证书:

sudo certbot renew

需要设置定时任务让renew自动化。

创建文件,/etc/letsencrypt/letsencrypt.sh,当定时任务触发时调用的脚本文件。

#!/bin/bash
systemctl reload nginx

# If you have other services that use the certificates:
# systemctl restart mosquitto

设置脚本文件可执行权限:

chmod +x /etc/letsencrypt/letsencrypt.sh

编辑cron列表:

sudo crontab -e

增加1行:

20 3 * * * certbot renew --noninteractive --renew-hook /etc/letsencrypt/letsencrypt.sh

任务将在每天3:20执行。


如何查看日志

比如想知道定时任务执行是否成功:

sudo tail -f /var/log/letsencrypt/letsencrypt.log
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,723评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,485评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,998评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,323评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,355评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,079评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,389评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,019评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,519评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,971评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,100评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,738评论 4 324
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,293评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,289评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,517评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,547评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,834评论 2 345

推荐阅读更多精彩内容