内容简介:本文首发:Let’s Encrypt 是由 Internet Security Research Group (ISRG) 开发的一个自由、自动化和开放的证书颁发机构。目前几乎所有的现代浏览器都信任由 Let’s Encrypt 颁发的证书。这个教程,将会一步一步的教你如何在 CentOS 7 上通过 Certbot 来生成 SSL 安全证书,并配置到 Nginx 上。
本文首发: 开发指南:如何在 CentOS 7 上安装 Nginx
Let’s Encrypt 是由 Internet Security Research Group (ISRG) 开发的一个自由、自动化和开放的证书颁发机构。目前几乎所有的现代浏览器都信任由 Let’s Encrypt 颁发的证书。
这个教程,将会一步一步的教你如何在 CentOS 7 上通过 Certbot 来生成 SSL 安全证书,并配置到 Nginx 上。
开始前的准备
在继续此教程之前,请确保你已经满足了以下两个条件:
- 请确保你已经拥有了一个属于你的域名,并且已经解析到了你的服务器 IP 上,在接下来的教程中,我将会用 kaifazhinan.com 作为本教程的域名。
- 请确保你已经启用了 EPEL 仓库,并且已经安装了 Nginx,如果你还没有安装 Nginx,你可以先阅读 如何在 CentOS 7 上安装 Nginx 这篇文章来安装 Nginx。
安装 Certbot
Certbot 是一个非常简单方便的工具,它可以帮助我们生成 SSL 证书,自动更新 SSL 证书,并且将证书配置到 Web 服务上。
可以运行以下命令,从 EPEL 仓库中安装 Certbot:
sudo yum install certbot
生成 Dh (Diffie-Hellman) 组
Diffie–Hellman 密匙交换是一种可以在不安全的通信信道上安全交换密钥的方法。
现在运行以下命令,可以来生成一个新的 2048 位的 DH 参数:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
2048 位,生成时间大概 3-5 分钟左右。当然,如果您愿意也可以将大小改为 4096 位,但是这样的话,可能生成的时间至少需要花费 30 分钟,此操作具体时长取决于系统熵。
生成 SSL 证书
要生成域名的 SSL 证书,我们将使用 Webroot 插件在 ${webroot-path}/.well-known/acme-challenge
目录中创建临时文件来验证请求的域名。Let's Encrypt 服务器会向临时文件发出 HTTP 请求,以验证请求的域名是否被正确的解析到了正在运行 Certbot 的服务器。
为了简便,我们将把所有访问 .well-known/acme-challenge
的 HTTP 请求都映射到 /var/lib/letsencrypt
这个目录中。
下面的命令将会创建这个目录,并且使 Nginx 对它拥有读写的权限。
sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp nginx /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt
创建代码片段
为了避免 Nginx 配置文件中存在重复的代码,请创建以下两个代码片段(里面是 Nginx 的配置代码),我们将在相关的 Nginx 配置文件中包含这些片段:
1、首先,创建一个目录,用于存放 Nginx 配置的代码片段文件:
sudo mkdir /etc/nginx/snippets
2、创建第一个片段文件, letsencrypt.conf ,其全路径为: /etc/nginx/snippets/letsencrypt.conf
location ^~ /.well-known/acme-challenge/ {
allow all;
root /var/lib/letsencrypt/;
default_type "text/plain";
try_files $uri =404;
}
3、创建第二个片段文件, ssl.conf ,其全路径为: /etc/nginx/snippets/ssl.conf
ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS'; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 30s; add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload"; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff;
上面的代码中包含 Mozilla 的推荐部分。 支持 OCSP Stapling,HTTP 严格传输安全(HSTS)并强制执行几个以安全为中心的 HTTP 头。
加载 letsencrypt.conf
代码片段创建完成之后,就可以打开 Nginx 的域名独立配置文件,将 letsencrypt.conf 文件引入。
在这里,我们的域名是 kaifazhinan.com ,所以我们的配置文件为 kaifazhinan.com.conf , 文件的全路径为 /etc/nginx/conf.d/kaifazhinan.com.conf 。
server {
listen 80;
server_name kaifazhinan.com www.kaifazhinan.com;
include snippets/letsencrypt.conf;
}
注意:我们建议针对不同的域名,创建不同的独立配置文件。这样会比较清晰,便于管理和查找对应的配置。
Nginx 的主配置文件中有一行代码是 include /etc/nginx/conf.d/*.conf
,这行代码的意思就是加载 /etc/nginx/conf.d/
目录下所有以 .conf
结尾的配置文件,所以我们直接将独立的配置文件保存在 /etc/nginx/conf.d/
目录下就会自动引入。
生成证书
重新加载 Nginx 配置使更改生效:
sudo systemctl reload nginx
你现在可以运行 Certbot 使用 Webroot 插件,为你的域名生成 SSL 证书:
sudo certbot certonly --agree-tos --email admin@kaifazhinan.com --webroot -w /var/lib/letsencrypt/ -d kaifazhinan.com -d www.kaifazhinan.com
注意:记得将 admin@kaifazhinan.com 换成你自己的邮箱,还有 kaifazhinan.com 和 www.kaifazhinan.com 换成你的域名。
如果成功的生成了 SSL 证书,那么 Certbot 将打印类似以下的内容:
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/kaifazhinan.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/kaifazhinan.com/privkey.pem Your cert will expire on 2019-02-11. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
配置 Nginx
现在你已经成功生成了 SSL 证书,现在可以修改 Nginx 的域名配置了,这里我们的域名是配置文件是 kaifazhinan.com.conf ,文件的全路径是 /etc/nginx/conf.d/kaifazhinan.com.conf :
server {
listen 80;
server_name www.kaifazhinan.com kaifazhinan.com;
include snippets/letsencrypt.conf;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
server_name www.kaifazhinan.com;
ssl_certificate /etc/letsencrypt/live/kaifazhinan.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/kaifazhinan.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/kaifazhinan.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
return 301 https://kaifazhinan.com$request_uri;
}
server {
listen 443 ssl http2;
server_name kaifazhinan.com;
ssl_certificate /etc/letsencrypt/live/kaifazhinan.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/kaifazhinan.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/kaifazhinan.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
# 如果有补充的配置,可以写在这里
}
上面的代码,我们将 HTTP 的请求重定向到了 HTTPS,将 www.kaifazhinan.com 重定向到了 kaifazhinan.com 上。
最后,通过下面的命令,重新加载 Nginx,使上面的配置生效:
sudo systemctl reload nginx
自动更新 Let’s Encrypt SSL 证书
Let’s Encrypt 颁发的 SSL 证书有效时间是 90 天。我们需要在证书过期之前自动续订证书,这里将创建一个每天运行两次的定时任务 ,并在证书到期前 30 天自动续订。
通过运行 crontab
命令,来创建一个定时任务:
sudo crontab -e
上面的命令,会自动创建一个文件,并自动进入编辑状态,所以直接复制下面的内容粘贴到里面即可:
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"
保存并关闭文件。
如果要测试是否能够正常更新证书,你可以在 certbot
命令后面添加 --dry-run
这个参数来主动触发更新命令。
sudo certbot renew --dry-run
如果没有输出错误,则表示 SSL 证书更新成功。
总结
通过此教程,你学会了:
- 如何使用 Let’s Encrypt 客户端 Certbot 为你的域名创建了 SSL 证书;
- 也通过创建 Nginx 的代码片段,来避免 Nginx 配置文件中的代码冗余,并且将 SSL 证书配置到了 Nginx 服务中;
- 最后,你还创建了一个定时任务,来自动更新你的 SSL 证书,保证它不会过期。
如果你想了解 Certbot 的更多信息,可以参考它的 官方文档 。
期待下次与你相见 : )
以上所述就是小编给大家介绍的《如何在 CentOS 7 上生成 SSL 证书为 Nginx 加密》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- 非对称加密和证书总结
- 非对称加密和数字证书
- 对称加密,非对称加密,数字签名,数字证书,SSL握手
- 从对称加密到非对称加密再到认证中心:https 的证书申请
- 非对称加密与安全证书看这一篇就懂了
- mkcert 1.1.0 发布,本地 HTTPS 加密证书生成工具
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Data Structures and Algorithms
Alfred V. Aho、Jeffrey D. Ullman、John E. Hopcroft / Addison Wesley / 1983-1-11 / USD 74.20
The authors' treatment of data structures in Data Structures and Algorithms is unified by an informal notion of "abstract data types," allowing readers to compare different implementations of the same......一起来看看 《Data Structures and Algorithms》 这本书的介绍吧!
