本文首發:開發指南:如何在 CentOS 7 上安裝 Nginx
Let’s Encrypt 是由 Internet Security Research Group (ISRG) 開發的一個自由、自動化和開放的證書頒發機構。目前幾乎所有的現代瀏覽器都信任由 Let’s Encrypt 頒發的證書。
這個教程,將會一步一步的教你如何在 CentOS 7 上通過 Certbot 來生成 SSL 安全證書,並配置到 Nginx 上。
開始前的準備
在繼續此教程之前,請確保你已經滿足了以下兩個條件:
- 請確保你已經擁有了一個屬於你的域名,並且已經解析到了你的服務器 IP 上,在接下來的教程中,我將會用 kaifazhinan.com 作爲本教程的域名。
- 請確保你已經啓用了 EPEL 倉庫,並且已經安裝了 Nginx,如果你還沒有安裝 Nginx,你可以先閱讀 如何在 CentOS 7 上安裝 Nginx 這篇文章來安裝 Nginx。
安裝 Certbot
Certbot 是一個非常簡單方便的工具,它可以幫助我們生成 SSL 證書,自動更新 SSL 證書,並且將證書配置到 Web 服務上。
可以運行以下命令,從 EPEL 倉庫中安裝 Certbot:
sudo yum install certbot生成 Dh (Diffie-Hellman) 組
Diffie–Hellman 密匙交換是一種可以在不安全的通信信道上安全交換密鑰的方法。
現在運行以下命令,可以來生成一個新的 2048 位的 DH 參數:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 20482048 位,生成時間大概 3-5 分鐘左右。當然,如果您願意也可以將大小改爲 4096 位,但是這樣的話,可能生成的時間至少需要花費 30 分鐘,此操作具體時長取決於系統熵。
生成 SSL 證書
要生成域名的 SSL 證書,我們將使用 Webroot 插件在 ${webroot-path}/.well-known/acme-challenge 目錄中創建臨時文件來驗證請求的域名。Let's Encrypt 服務器會向臨時文件發出 HTTP 請求,以驗證請求的域名是否被正確的解析到了正在運行 Certbot 的服務器。
爲了簡便,我們將把所有訪問 .well-known/acme-challenge 的 HTTP 請求都映射到 /var/lib/letsencrypt 這個目錄中。
下面的命令將會創建這個目錄,並且使 Nginx 對它擁有讀寫的權限。
sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp nginx /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt創建代碼片段
爲了避免 Nginx 配置文件中存在重複的代碼,請創建以下兩個代碼片段(裏面是 Nginx 的配置代碼),我們將在相關的 Nginx 配置文件中包含這些片段:
1、首先,創建一個目錄,用於存放 Nginx 配置的代碼片段文件:
sudo mkdir /etc/nginx/snippets2、創建第一個片段文件, letsencrypt.conf,其全路徑爲: /etc/nginx/snippets/letsencrypt.conf
location ^~ /.well-known/acme-challenge/ {
allow all;
root /var/lib/letsencrypt/;
default_type "text/plain";
try_files $uri =404;
}3、創建第二個片段文件,ssl.conf,其全路徑爲: /etc/nginx/snippets/ssl.conf
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
ssl_prefer_server_ciphers on;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 30s;
add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;上面的代碼中包含 Mozilla 的推薦部分。 支持 OCSP Stapling,HTTP 嚴格傳輸安全(HSTS)並強制執行幾個以安全爲中心的 HTTP 頭。
加載 letsencrypt.conf
代碼片段創建完成之後,就可以打開 Nginx 的域名獨立配置文件,將 letsencrypt.conf 文件引入。
在這裏,我們的域名是 kaifazhinan.com ,所以我們的配置文件爲 kaifazhinan.com.conf, 文件的全路徑爲 /etc/nginx/conf.d/kaifazhinan.com.conf。
server {
listen 80;
server_name kaifazhinan.com www.kaifazhinan.com;
include snippets/letsencrypt.conf;
}注意: 我們建議針對不同的域名,創建不同的獨立配置文件。這樣會比較清晰,便於管理和查找對應的配置。
Nginx 的主配置文件中有一行代碼是 include /etc/nginx/conf.d/*.conf,這行代碼的意思就是加載 /etc/nginx/conf.d/ 目錄下所有以 .conf 結尾的配置文件,所以我們直接將獨立的配置文件保存在 /etc/nginx/conf.d/ 目錄下就會自動引入。
生成證書
重新加載 Nginx 配置使更改生效:
sudo systemctl reload nginx你現在可以運行 Certbot 使用 Webroot 插件,爲你的域名生成 SSL 證書:
sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d kaifazhinan.com -d www.kaifazhinan.com注意: 記得將 [email protected] 換成你自己的郵箱,還有 kaifazhinan.com 和 www.kaifazhinan.com 換成你的域名。
如果成功的生成了 SSL 證書,那麼 Certbot 將打印類似以下的內容:
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/kaifazhinan.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/kaifazhinan.com/privkey.pem
Your cert will expire on 2019-02-11. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le配置 Nginx
現在你已經成功生成了 SSL 證書,現在可以修改 Nginx 的域名配置了,這裏我們的域名是配置文件是 kaifazhinan.com.conf,文件的全路徑是 /etc/nginx/conf.d/kaifazhinan.com.conf:
server {
listen 80;
server_name www.kaifazhinan.com kaifazhinan.com;
include snippets/letsencrypt.conf;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
server_name www.kaifazhinan.com;
ssl_certificate /etc/letsencrypt/live/kaifazhinan.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/kaifazhinan.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/kaifazhinan.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
return 301 https://kaifazhinan.com$request_uri;
}
server {
listen 443 ssl http2;
server_name kaifazhinan.com;
ssl_certificate /etc/letsencrypt/live/kaifazhinan.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/kaifazhinan.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/kaifazhinan.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
# 如果有補充的配置,可以寫在這裏
}上面的代碼,我們將 HTTP 的請求重定向到了 HTTPS,將 www.kaifazhinan.com 重定向到了 kaifazhinan.com 上。
最後,通過下面的命令,重新加載 Nginx,使上面的配置生效:
sudo systemctl reload nginx自動更新 Let’s Encrypt SSL 證書
Let’s Encrypt 頒發的 SSL 證書有效時間是 90 天。我們需要在證書過期之前自動續訂證書,這裏將創建一個每天運行兩次的定時任務 ,並在證書到期前 30 天自動續訂。
通過運行 crontab 命令,來創建一個定時任務:
sudo crontab -e上面的命令,會自動創建一個文件,並自動進入編輯狀態,所以直接複製下面的內容粘貼到裏面即可:
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"保存並關閉文件。
如果要測試是否能夠正常更新證書,你可以在 certbot 命令後面添加 --dry-run 這個參數來主動觸發更新命令。
sudo certbot renew --dry-run如果沒有輸出錯誤,則表示 SSL 證書更新成功。
總結
通過此教程,你學會了:
- 如何使用 Let’s Encrypt 客戶端 Certbot 爲你的域名創建了 SSL 證書;
- 也通過創建 Nginx 的代碼片段,來避免 Nginx 配置文件中的代碼冗餘,並且將 SSL 證書配置到了 Nginx 服務中;
- 最後,你還創建了一個定時任務,來自動更新你的 SSL 證書,保證它不會過期。
如果你想了解 Certbot 的更多信息,可以參考它的官方文檔。
期待下次與你相見 : )
本文首發:開發指南:如何在 CentOS 7 上安裝 Nginx