前提:
需要安装openssl,一般centos默认安装;
需要在公网可以访问的服务器上部署nginx,执行以下操作
需要自动更新证书脚本,防止90天试用过期
一、首先创建一个目录,存放临时生成的文件和生成的证书,例如:
mkdir /opt/ssl 之后的操作均在此目录下执行。
二、创建帐号
创建一个 RSA 私钥用于 Let’s Encrypt 识别你的身份:
openssl genrsa 4096 > account.key
三、创建CSR
在这之前,还需要创建域名私钥(一定不要使用上面的账户私钥),根据证书不同类型,域名私钥也可以选择 RSA 和 ECC 两种不同类型。此处选择RSA。
1)创建 RSA 私钥(兼容性好)
openssl genrsa 4096 > domain.key
2) 生成CSR文件
有了私钥文件,就可以生成 CSR 文件了。可以根据需要添加多个域名如:abc.cootel.com 、test.cootel.com(目前一张证书最多可以包含 100 个域名):
openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf<(printf "[SAN]\nsubjectAltName=DNS:abc.cootel.com,DNS:test.cootel.com")) > domain.csr
执行这一步时,如果提示找不到 /etc/ssl/openssl.cnf 文件,请看看 /usr/local/openssl/ssl/openssl.cnf 是否存在。
如果还是不行,也可以使用交互方式创建 CSR(需要注意 Common Name 必须为你的域名):
openssl req -new -sha256 -key domain.key -out domain.csr
四、配置验证服务
我们知道,CA 在签发 DV(Domain Validation)证书时,需要验证域名所有权。传统 CA 的验证方式一般是往 admin@yoursite.com 发验证邮件,而 Let’s Encrypt 是在你的服务器上生成一个随机验证文件,再通过创建 CSR 时指定的域名访问,如果可以访问则表明你对这个域名有控制权。
首先创建用于存放验证文件的目录,例如:
mkdir /home/www/challenges/
然后配置一个 HTTP 服务,以 Nginx 为例:
NGINX
server {
listen 80;
server_name test.cootel.com abc.cootel.com;
location ^~ /.well-known/acme-challenge/ {
alias /home/www/challenges/;
try_files $uri =404;
}
location / {
rewrite ^/(.*)$ https://test.cootel.com/$1 permanent;
}
}
以上配置优先查找 /home/www/challenges/ 目录下的文件,如果找不到就重定向到 HTTPS 地址。这个验证服务以后更新证书还要用到,建议一直保留。
五、获取网站证书
先把 acme-tiny 脚本保存到之前的 ssl 目录:
wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py
六、指定账户私钥、CSR 以及验证目录,执行脚本:
python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir ~/www/challenges/ > ./signed.crt
如果一切正常,当前目录下就会生成一个 signed.crt,这就是申请好的证书文件。
如果执行脚本时报错找不到模板argparse ,可以使用yum install python-argparse 安装。
七、下载中间证书
搞定网站证书后,还要下载 Let’s Encrypt 的中间证书。配置 HTTPS 证书时既不要漏掉中间证书,也不要包含根证书。在 Nginx 配置中,需要把中间证书和网站证书合在一起:
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
八、为了后续能顺利启用 OCSP Stapling,我们再把根证书和中间证书合在一起:
wget -O - https://letsencrypt.org/certs/isrgrootx1.pem > root.pem
cat intermediate.pem root.pem > full_chained.pem
最终,修改 Nginx 中有关证书的配置并 reload 服务即可:
ssl_certificate /opt/ssl/chained.pem;
ssl_certificate_key /opt/ssl/domain.key;
九、Nginx 配置
# HTTPS server
#
server {
listen 443 ssl;
server_name test.cootel.com;
ssl_certificate /opt/ssl/chained.pem;
ssl_certificate_key /opt/ssl/domain.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
}
}
十、配置自动跟新脚本
新建脚本renew.sh
#!/bin/bash
cd /opt/ssl/
python acme_tiny.py --account-key account.key --csr domain.csr --acme-dir /home/www/challenges/ > signed.crt || exit
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
/usr/local/nginx/sbin/nginx –s reload
十一、加入crontab实现定期执行
0 0 1 * * /opt/ssl/renew.sh >/dev/null 2>&1