申请Let’s Encrypt免费https证书


Let's Encrypt 是一个免费、自动化、开放的证书签发服务。它由 ISRG(Internet Security Research Group,互联网安全研究小组)提供服务,而 ISRG 是来自于美国加利福尼亚州的一个公益组织。Let's Encrypt 得到了 Mozilla、Cisco、Akamai、Electronic Frontier Foundation 和 Chrome 等众多公司和机构的支持,发展十分迅猛。 申请 Let's Encrypt 证书不但免费,还非常简单,虽然每次只有 90 天的有效期,但可以通过脚本定期更新。下面介绍下申请过程.

创建账号

创建ssl目录,然后创建一个 RSA 私钥用于 Let's Encrypt 识别你的身份:

cd ~ && mkdir ssl && cd ssl
 openssl genrsa 4096 > account.key

创建 CSR 文件

接着就可以生成 CSR(Certificate Signing Request,证书签名请求)文件了。在这之前,还需要创建域名私钥,根据证书不同类型,域名私钥也可以选择 RSA 和 ECC 两种不同类型。
创建 RSA 私钥:

openssl genrsa 4096 > domain.key

有了私钥文件,就可以生成 CSR 文件了。在 CSR 中推荐至少把域名带 www 和不带 www 的两种情况都加进去,其它子域可以根据需要添加:

openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yoursite.com,DNS:www.yoursite.com")) > domain.csr

这一步如果出错,可以使用交互方式创建CSR.(需要注意 Common Name 必须为你的域名):

openssl req -new -sha256 -key domain.key -out domain.csr

配置验证服务

Let's Encrypt 是在你的服务器上生成一个随机验证文件,再通过创建 CSR 时指定的域名访问,如果可以访问则表明你对这个域名有控制权。
首先创建用于存放验证文件的目录,注意这个目录你的web服务器必须有权限可以访问到。例如:

mkdir /var/www/letsencrypt/challenges/

然后配置nginx,在server中加入:

location ^~ /.well-known/acme-challenge/ {
       alias /var/www/letsencrypt/challenges/;
       default_type "text/plain";
       try_files $uri =404;
}

获取网站证书,下载acme-tiny 脚本:

wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py

指定账户私钥、CSR 以及验证目录,执行脚本:

python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir ~/www/challenges/ > ./signed.crt

如果一切正常,当前目录下就会生成一个 signed.crt,这就是申请好的证书文件.下载 Let's Encrypt 的中间证书,把中间证书和网站证书合在一起:

wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
    cat signed.crt intermediate.pem > chained.pem

把根证书和中间证书合在一起:

wget -O - https://letsencrypt.org/certs/isrgrootx1.pem > root.pem
cat intermediate.pem root.pem > full_chained.pem

最终,修改 Nginx 中有关证书的配置并 reload 服务即可:

ssl_certificate     /root/ssl/chained.pem;
ssl_certificate_key /root/ssl/domain.key;

配置自动更新

Let's Encrypt 签发的证书只有 90 天有效期,推荐使用脚本定期更新。例如我就创建了一个 renew_cert.sh 并通过 chmod a+x renew_cert.sh 赋予执行权限。文件内容如下:

#!/bin/bash
cd /root/ssl/
python acme_tiny.py --account-key account.key --csr domain.csr --acme-dir /var/www/challenges/ > signed.crt || exit
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
service nginx reload

crontab中使用绝对路径比较保险,crontab -e 加入以下内容:

0 0 1 * * /root/ssl/renew_cert.sh >/dev/null 2>&1

这样以后证书每个月都会自动更新.