nginx https配置——Let's Encrypt 部署和维护
let’s encrypt
Let's Encrypt 的最大贡献是它的 ACME 协议,第一份全自动服务器身份验证协议,以及配套的基础设施和客户端。这是为了解决一直以来 HTTPS TLS X.509 PKI 信任模型,即证书权威(Certificate Authority, CA)模型缺陷的一个起步。nginx
在客户端-服务器数据传输中,公私钥加密使得公钥能够明文传输而依然保密数据,但公钥自己是否属于服务器,或公钥与服务器是否同属一个身份,是没法简单验证的。证书权威模型经过引入事先信任的第三方,由第三方去验证这一点,并经过在服务器公钥上签名的方式来认证服务器。第三方的公钥则在事先就约定并离线准备好,以备访问时验证签名之用。这个第三方就称为证书权威,简称CA。相应的,CA验证过的公钥被称为证书。git
问题是,若是服务器私钥泄露,CA没法离线使对应的证书无效化,只能另外发布无效记录供客户端查询。也就是说,在私钥泄露到CA发布无效记录的窗口内,中间人能够肆意监控服-客之间的传输。若是中间人设法屏蔽了客户端对无效记录的访问,那么直到证书过时,中间人均可以进行监控。而因为当前CA验证和签发证书大多手动,证书有效期每每在一年到三年。github
Let's Encrypt 签发的证书有效期只有90天,甚至但愿缩短到60天。有效期越短,泄密后可供监控的窗口就越短。为了支撑这么短的有效期,就必须自动化验证和签发。由于自动化了,长远而言,维护反而比手动申请再安装要简单。
自动签发实现
下载脚本到本地:bash
wget https://raw.githubusercontent.com/xdtianyu/scripts/master/lets-encrypt/letsencrypt.conf wget https://raw.githubusercontent.com/xdtianyu/scripts/master/lets-encrypt/letsencrypt.sh chmod +x letsencrypt.sh
配置文件,须要指出其中的坑:服务器
let's encrypt的签发过程当中须要对域名进行鉴权,因此会向域名所指向的根目录写入鉴权文件,也就是在根目录新建目录“.well-known/acme-challenge/”向其中写入一个随机文件,再访问: <域名> /.well-known/acme-challenge/{随机文件}以验证域名全部权。 加密
因此,letsencrypt.conf文件配置说明:code
ACCOUNT_KEY="letsencrypt-account.key"//帐户密钥,能够改为自定义的标示,固然也能够不改 DOMAIN_KEY="example.com.key"//域名私钥 DOMAIN_DIR="/var/www/example.com"//域名鉴权目录 DOMAINS="DNS:example.com,DNS:whatever.example.com"//要申请证书的域名,能够一个,能够多个 #ECC=TRUE #LIGHTTPD=TRUE
其中“DOMAIN_DIR”设置最好是配置一个单独的路径去作这个鉴权的事情:教程
好比此处须要给sunallies.com申请https证书,那么ip
DOMAIN_DIR="/var/www/challenges/aishan100.com"//域名鉴权目录
而后nginx的sunallies.com的站点配置中要加个目录映射:ssl
location /.well-known/acme-challenge/{
alias /var/www/challenges/sunallies.com/.well-known/acme-challenge/;
try_files $uri = 404;
}
而后重启nginx。
接着执行获取证书:
在letsencrypt.sh文件末尾加上
nginx -s reload
保存letsencrypt.sh,接着执行
./letsencrypt.sh letsencrypt.conf
将会生成以下几个文件
lets-encrypt-x1-cross-signed.pem example.chained.crt # 即网上搜索教程里常见的 fullchain.pem example.com.key # 即网上搜索教程里常见的 privkey.pem example.crt example.csr
在 nginx 里添加 ssl 相关的配置
ssl_certificate /path/to/cert/example.chained.crt; ssl_certificate_key /path/to/cert/example.key;
cron 定时任务
每月自动更新一次证书。
0 0 1 * * /etc/nginx/certs/letsencrypt.sh /etc/nginx/certs/letsencrypt.conf >> /var/log/lets-encrypt.log 2>&1
- 1. Lets encrypt安装及配置
- 2. 申请lets encrypt https证书并配置nginx
- 3. debian+apache+acme_tiny+lets-encrypt配置笔记
- 4. 为ubuntu中的Lighttpd配置Lets Encrypt
- 5. https部署实践 (Let's Encrypt)
- 6. nginx安装Lets Encrypt SSL免费HTTPS加密证书
- 7. https配置与部署
- 8. 使用Lets Encrypt 生成nginx ssl证书
- 9. nginx配置https
- 10. Nginx HA 及https配置部署
- 更多相关文章...
- • Maven 自动化部署 - Maven教程
- • ionic 头部和底部 - ionic 教程
- • IntelliJ IDEA 代码格式化配置和快捷键
- • 使用阿里云OSS+CDN部署前端页面与加速静态资源
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 在windows下的虚拟机中,安装华为电脑的deepin操作系统
- 2. 强烈推荐款下载不限速解析神器
- 3. 【区块链技术】孙宇晨:区块链技术带来金融服务的信任变革
- 4. 搜索引起的链接分析-计算网页的重要性
- 5. TiDB x 微众银行 | 耗时降低 58%,分布式架构助力实现普惠金融
- 6. 《数字孪生体技术白皮书》重磅发布(附完整版下载)
- 7. 双十一“避坑”指南:区块链电子合同为电商交易保驾护航!
- 8. 区块链产业,怎样“链”住未来?
- 9. OpenglRipper使用教程
- 10. springcloud请求一次好用一次不好用zuul Name or service not known