Let's Encrypt，免费好用的 HTTPS 证书

时间 2019-11-20

标签 let's let encrypt 免费好用 https 证书繁體版

原文原文链接

#参考https://imququ.com/post/letsencrypt-certificate.html
#####argparse安装
#http://www.cnblogs.com/emanlee/p/4577249.htmlhtml

很早以前我就在关注 Let's Encrypt 这个免费、自动化、开放的证书签发服务。它由 ISRG（Internet Security Research Group，互联网安全研究小组）提供服务，而 ISRG 是来自于美国加利福尼亚州的一个公益组织。Let's Encrypt 获得了 Mozilla、Cisco、Akamai、Electronic Frontier Foundation 和 Chrome 等众多公司和机构的支持，发展十分迅猛。python

申请 Let's Encrypt 证书不但免费，还很是简单，虽然每次只有 90 天的有效期，但能够经过脚本按期更新，配好以后一劳永逸。通过一段时间的观望，我也正式启用 Let's Encrypt 证书了，本文记录本站申请过程和遇到的问题。nginx

我没有使用 Let's Encrypt 官网提供的工具来申请证书，而是用了 acme-tiny 这个更为小巧的开源工具。如下内容基本按照 acme-tiny 的说明文档写的，省略了一些我不须要的步骤。git

ACME 全称是 Automated Certificate Management Environment，直译过来是自动化证书管理环境的意思，Let's Encrypt 的证书签发过程使用的就是 ACME 协议。有关 ACME 协议的更多资料能够在这个仓库找到。github

建立账号

首先建立一个目录，例如 ssl，用来存放各类临时文件和最后的证书文件。进入这个目录，建立一个 RSA 私钥用于 Let's Encrypt 识别你的身份：shell

openssl genrsa 4096 > account.key

建立 CSR 文件

接着就能够生成 CSR（Certificate Signing Request，证书签名请求）文件了。在这以前，还须要建立域名私钥（必定不要使用上面的帐户私钥），根据证书不一样类型，域名私钥也能够选择 RSA 和 ECC 两种不一样类型。如下两种方式请根据实际状况二选一。api

1）建立 RSA 私钥（兼容性好）：浏览器

openssl genrsa 4096 > domain.key

2）建立 ECC 私钥（部分老旧操做系统、浏览器不支持。优势是证书体积小）：安全

BASH#secp256r1 openssl ecparam -genkey -name secp256r1 | openssl ec -out domain.key #secp384r1 openssl ecparam -genkey -name secp384r1 | openssl ec -out domain.key

有关 ECC 证书的更多介绍，请点击这里。bash

有了私钥文件，就能够生成 CSR 文件了。在 CSR 中推荐至少把域名带 www 和不带 www 的两种状况都加进去，其它子域能够根据须要添加（目前一张证书最多能够包含 100 个域名）：

openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yoursite.com,DNS:www.yoursite.com")) > domain.csr

执行这一步时，若是提示找不到 /etc/ssl/openssl.cnf 文件，请看看 /usr/local/openssl/ssl/openssl.cnf 是否存在。若是仍是不行，也可使用交互方式建立 CSR（须要注意 Common Name 必须为你的域名）：

openssl req -new -sha256 -key domain.key -out domain.csr

配置验证服务

咱们知道，CA 在签发 DV（Domain Validation）证书时，须要验证域名全部权。传统 CA 的验证方式通常是往 admin@yoursite.com 发验证邮件，而 Let's Encrypt 是在你的服务器上生成一个随机验证文件，再经过建立 CSR 时指定的域名访问，若是能够访问则代表你对这个域名有控制权。

首先建立用于存放验证文件的目录，例如：

mkdir ~/www/challenges/

而后配置一个 HTTP 服务，以 Nginx 为例：

NGINXserver { server_name www.yoursite.com yoursite.com; location ^~ /.well-known/acme-challenge/ { alias /home/xxx/www/challenges/; try_files $uri =404; } location / { rewrite ^/(.*)$ https://yoursite.com/$1 permanent; } }

以上配置优先查找 ~/www/challenges/ 目录下的文件，若是找不到就重定向到 HTTPS 地址。这个验证服务之后更新证书还要用到，建议一直保留。

获取网站证书

先把 acme-tiny 脚本保存到以前的 ssl 目录：

wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py

指定帐户私钥、CSR 以及验证目录，执行脚本：

python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir ~/www/challenges/ > ./signed.crt

若是一切正常，当前目录下就会生成一个 signed.crt，这就是申请好的证书文件。

若是你把域名 DNS 解析放在国内，这一步极可能会遇到相似这样的错误：

ValueError: Wrote file to /home/xxx/www/challenges/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg, but couldn't download http://www.yoursite.com/.well-known/acme-challenge/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg

这是由于你的域名极可能在国外没法解析，能够找台国外 VPS 验证下。个人域名最近从 DNSPod 换到了阿里云解析，最后又换到了 CloudXNS，就是由于最近前两家在国外都很不稳定。若是你也遇到了相似状况，能够暂时使用国外的 DNS 解析服务商，例如 dns.he.net。若是仍是搞不定，也能够试试「Neilpang/le」这个工具的 DNS Mode。

搞定网站证书后，还要下载 Let's Encrypt 的中间证书。我在以前的文章中讲过，配置 HTTPS 证书时既不要漏掉中间证书，也不要包含根证书。在 Nginx 配置中，须要把中间证书和网站证书合在一块儿：

wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem

为了后续能顺利启用 OCSP Stapling，咱们再把根证书和中间证书合在一块儿：

wget -O - https://letsencrypt.org/certs/isrgrootx1.pem > root.pem
cat intermediate.pem root.pem > full_chained.pem

最终，修改 Nginx 中有关证书的配置并 reload 服务便可：

ssl_certificate ~/www/ssl/chained.pem; ssl_certificate_key ~/www/ssl/domain.key;

Nginx 中与 HTTPS 有关的配置项不少，这里不一一列举了。若有须要，请参考本站配置。

配置自动更新

Let's Encrypt 签发的证书只有 90 天有效期，推荐使用脚本按期更新。例如我就建立了一个 renew_cert.sh 并经过 chmod a+x renew_cert.sh 赋予执行权限。文件内容以下：

BASH#!/bin/bash cd /home/xxx/www/ssl/ python acme_tiny.py --account-key account.key --csr domain.csr --acme-dir /home/xxx/www/challenges/ > signed.crt || exit wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem cat signed.crt intermediate.pem > chained.pem service nginx reload

crontab 中使用绝对路径比较保险，crontab -e 加入如下内容：

0 0 1 * * /home/xxx/shell/renew_cert.sh >/dev/null 2>&1

这样之后证书每月都会自动更新，一劳永逸。实际上，Let's Encrypt 官方将证书有效期定为 90 天一方面是为了更安全，更重要的是鼓励用户采用自动化部署方案。

几个问题

Let's Encrypt 证书的兼容性，全部操做系统、浏览器默认是否都能识别是你们最关心的问题。实际上，因为 Let's Encrypt 与 IdenTrust 的 DST Root CA 作了交叉认证，兼容性仍是不错的，目前我只是发如今 Android 2 和 Windows XP 下有问题（Firefox 的证书那一套是本身实现的，不依赖于系统，XP 下只有 Firefox 信任 Let's Encrypt 证书），其它环境都正常。

（Windows XP 不信任 Let's Encrypt 的中间证书）

更新：根据 Let's Encrypt 官方说明，Windows XP 下的问题很快就会解决：

A bug in Windows XP causes parsing of our current cross-signature from IdenTrust to fail. We will be correcting this by getting new cross-signatures from IdenTrust which work on Windows XP.
注：已于 2016 年 3 月 26 日解决。

另一个问题有关 ECC 证书，官网表示计划将在 2016 年提供对 ECC 证书的支持：

Right now all of our root and intermediate keys use RSA. We're planning to generate ECC keys and make an ECC option available to subscribers in 2016. via
注：Let's Encrypt 已于 2016 年 2 月 11 日开始支持签发 ECC 证书。

Let's Encrypt 官方的新特性预告能够在这个页面查看。

我我的建议：对于我的用户来讲，若是很是在乎证书兼容性，能够购买 RapidSSL Standard 或者 Comodo Positive SSL 这两种证书。其中 RapidSSL 证书一共才三级，比较小；Comodo Positive 有四级，但能够申请 ECC 证书；两者都有着不错的兼容性，也很是廉价（一年不到 10$）。固然，若是不用考虑 Windows XP 用户，那么强烈推荐 Let's Encrypt！