登录
当前位置: 首页 > 工具软件 > tinyscript > 使用案例 >

使用acme-tiny申请免费SSL证书

叶明辉
2023-12-01

网络发展迅猛,数据传输安全日益备受重视,微信小程序等更是要求服务端地址必须支持HTTPS协议,SSL证书不可或缺!

创建一个 Let’s Encrypt 账户私钥

mkdir -p /acme-tiny/account
cd /acme-tiny/account
openssl genrsa 4096 > lets.encrypt.account.key

创建网站域名私钥

mkdir -p /acme-tiny/domain
cd /acme-tiny/domain
openssl genrsa 4096 > lee23.top.key

创建申请域名证书的请求文件(CSR)

单个域名申请,以open.service.lee23.top为例

cd /acme-tiny/domain
openssl req -new -sha256 -key lee23.top.key -subj "/CN=open.service.lee23.top" > open.service.lee23.top.csr

多个域名同时申请,以open.service.lee23.top,open.source.lee23.top,blog.lee23.top为例

cd /acme-tiny/domain
openssl req -new -sha256 -key lee23.top.key -subj "/" -reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:open.service.lee23.top,DNS:open.source.lee23.top,DNS:blog.lee23.top")) > lee23.top.csr

  • 备注:

    /etc/pki/tls/openssl.cnfopenssl的配置文件位置,不同系统可能位置不同,可以通过命令 openssl version -a查看,其中OPENSSLDIR就是openssl.cnf的位置目录

配置一个让 Let’s Encrypt 能验证你拥有域名所有权的服务

我们用csr通过acme-tiny的脚本申请证书时,先在服务器上生成一个随机验证文件,Let’s Encrypt通过创建 CSR 时指定的域名访问该文件,如果可以访问则表明你对这个域名有控制权

创建验证目录

mkdir -p /www/challenge

Nginx 服务配置,让 Let’s Encrypt 能访问验证文件,创建challenge.conf

location /.well-known/acme-challenge/ {
            alias /www/challenge;
            try_files $uri =404;
}

Nginx 引入challenge.conf

server {
      listen 80;
      server_name open.service.lee23.top;
 
      include challenge.conf
        
      ......
        
  }

server {
      listen 80;
      server_name open.source.lee23.top;
 
      include challenge.conf
        
      ......
        
  }

获取签名证书

我们用acme-tiny获取签名证书

cd /acme-tiny
git clone https://github.com/diafygi/acme-tiny.git
mv /acme-tiny/acme-tiny /acme-tiny/acme-script

用python的docker镜像运行脚本,不用再单独安装python,但需要安装docker


docker run -it --rm --name acme-tiny-script -v /acme-tiny:/acme-tiny -w /acme-tiny python:2 python /acme-tiny/acme-script/acme_tiny.py --account-key /acme-tiny/account/lets.encrypt.account.key --csr /acme-tiny/domain/lee23.top.csr --acme-dir /www/challenge/ > /acme-tiny/domain/lee23.top.signed.crt

  • 备注:

    -v docker目录映射
    -w docker工作目录
    --account-key Let’s Encrypt账户私钥 lets.encrypt.account.key
    --csr 创建域名证书申请的请求文件 lee23.top.csr
    --acme-dir Let’s Encrypt验证域名所有权目录
    lee23.top.signed.crt 生成的证书文件,该文件里有打印脚本执行过程,可打开查看debug,若没报错,则证明一切顺利,debug记录无需删除

crt 转化成 pem 文件,得到SSL证书的最终文件lee23.top.chained.pem

yum install -y ca-certificates
cd /acme-tiny/domain
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat lee23.top.signed.crt intermediate.pem > lee23.top.chained.pem

Nginx配置SSL证书

创建SSL配置lee23.top.ssl.conf


  ssl_certificate /acme-tiny/domain/lee23.top.chained.pem;
  ssl_certificate_key /acme-tiny/domain/lee23.top.key;
  ssl_prefer_server_ciphers on;
  ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
  ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
  ssl_session_timeout 1d;
  ssl_session_cache shared:SSL:50m;
  ssl_stapling on;
  ssl_stapling_verify on;
  add_header Strict-Transport-Security max-age=15768000;

  • 备注:

    ssl_certificate SSL证书pem文件位置

    ssl_certificate_key域名私钥位置

新增Nginx配置,端口为443,引入SSL配置

server {
      listen       443 ssl;
      server_name open.service.lee23.top;
      
      ......
      
      include lee23.top.ssl.conf;

      ......
  }
  
server {
      listen       443 ssl;
      server_name open.source.lee23.top;
      
      ......
      
      include lee23.top.ssl.conf;

      ......
  }

原来的80端口的Nginx配置不能删除,并配置强制跳转443端口,即强制跳转https (可选)


server {
    listen      80;
    server_name  open.service.lee23.top;
    
    ......
    
  
    return 301 https://$server_name$request_uri;
    
    .....

}

  • 备注:

    强制跳转443端口的代码段须配置在challenge.conf下面,避免Let’s Encrypt 验证域名所有权失败

配置自动更新证书

把上面的主要流程写进脚本 refresh.lee23.top.ssl.sh

#!/bin/bash

docker run --rm --name acme-tiny-script -v /acme-tiny:/acme-tiny -w /acme-tiny python:2 python /acme-tiny/acme-script/acme_tiny.py --account-key /acme-tiny/account/lets.encrypt.account.key --csr /acme-tiny/domain/lee23.top.csr --acme-dir /www/challenge/ > /acme-tiny/domain/lee23.top.signed.crt || exit

wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > /acme-tiny/domain/intermediate.pem

cat /acme-tiny/domain/lee23.top.signed.crt /acme-tiny/domain/intermediate.pem > /acme-tiny/domain/lee23.top.chained.pem

/usr/local/nginx/sbin/nginx -s reload

  • 备注

    /usr/local/nginx/sbin/nginx -s reload Nginx配置重载

配置crontab定时执行脚本自动更新证书,证书有效期3个月,我们每个月28日更新一次

0 0 28 * * /acme-tiny/refresh-ssl/refresh.lee23.top.ssl.sh 2>> /acme-tiny/refresh-ssl/refresh.lee23.top.error.log
 类似资料:

相关阅读

短信申请避免使用集合获取指定“ HHH000104:firstResult / maxResults”;申请内存!” 使用Spring Data [重复]Python请求SSL错误-证书验证失败如何使用python解码SSL证书?无法提交申请

相关文章

申万宏源证券资管产品经理岗面经毕业三年,回馈牛客网,提供免费面试指导DefaultMQPushConsumer消费者发起拉取消息请求申通快递前端(上海)广州申迪前端面试题

相关问答

使用SSL证书、私钥和SSLCertificateChain证书在Tomcat上启用SSLamh面板配置dns接口为cloudflare,申请ssl证书报错:[Error] cf-api is not exist.?Python请求的SSL证书问题python请求SSL错误(证书验证失败)Swift:如何使用服务器SSL证书发出Https请求

相关文档

PSV 用户指南使用说明书Windows 证书管理 帮助文档略知 知识付费与内容变现 帮助文档TypeScript 使用手册Sanic 使用教程
快捷导航: 新手教程 算法原理 架构设计 Java进阶 数据库进阶 大厂专栏 面试经验 编程笔记 编程问答 所有专题 文档资料 工具软件 电子书籍 小牛导航
在线工具: 房贷计算器 个税计算器 Linux命令查询 Json格式化 正则表达式 颜色转换 AES加解密 SHA1加密 MD5加密 毒鸡汤 字数统计 随机密码生成 进制转换 Base64编解码 励志句子
Copyright © 2019-2024 小牛知识库@xnip.cn. All Rights Reserved.