Lets Encrypt

最新推荐文章于 2024-08-16 15:07:33 发布

xiewen99

最新推荐文章于 2024-08-16 15:07:33 发布

阅读量1.3k

点赞数 1

分类专栏：云计算

本文链接：https://blog.csdn.net/xiewen99/article/details/54729084

版权

云计算专栏收录该内容

4 篇文章 0 订阅

订阅专栏

概述

https://letsencrypt.org/

Let’s Encrypt 是国外一个公共的免费 SSL 项目，由 Linux 基金会托管，它的来头不小，由 Mozilla、思科、Akamai、IdenTrust 和 EFF 等组织发起，目的就是向网站自动签发和管理免费证书，以便加速互联网由 HTTP 过渡到 HTTPS，目前 Facebook 等大公司开始加入赞助行列。Let’s Encrypt 已经得了 IdenTrust 的交叉签名，这意味着其证书现在已经可以被 Mozilla、Google、Microsoft 和 Apple 等主流的浏览器所信任，你只需要在 Web 服务器证书链中配置交叉签名，浏览器客户端会自动处理好其它的一切，Let’s Encrypt 安装简单，未来大规模采用可能性非常大。

Let’s Encrypt 的最大贡献是它的 ACME 协议，第一份全自动服务器身份验证协议，以及配套的基础设施和客户端。这是为了解决一直以来 HTTPS TLS X.509 PKI 信任模型，即证书权威（Certificate Authority, CA）模型缺陷的一个起步。

在客户端-服务器数据传输中，公私钥加密使得公钥可以明文传输而依然保密数据，但公钥本身是否属于服务器，或公钥与服务器是否同属一个身份，是无法简单验证的。证书权威模型通过引入事先信任的第三方，由第三方去验证这一点，并通过在服务器公钥上签名的方式来认证服务器。第三方的公钥则在事先就约定并离线准备好，以备访问时验证签名之用。这个第三方就称为证书权威，简称 CA。相应的，CA 验证过的公钥被称为证书。

问题是，如果服务器私钥泄露，CA 无法离线使对应的证书无效化，只能另外发布无效记录供客户端查询。也就是说，在私钥泄露到CA发布无效记录的窗口内，中间人可以肆意监控服-客之间的传输。如果中间人设法屏蔽了客户端对无效记录的访问，那么直到证书过期，中间人都可以进行监控。而由于当前CA验证和签发证书大多手动，证书有效期往往在一年到三年。

Let’s Encrypt 签发的证书有效期只有 90 天，甚至希望缩短到 60 天。有效期越短，泄密后可供监控的窗口就越短。为了支撑这么短的有效期，就必须自动化验证和签发。因为自动化了，长远而言，维护反而比手动申请再安装要简单。

自动化的好处还有：
- 子域名可以各自申请证书，不一定需要星号证书，进一步限制泄密的后果
- 由客户端生成证书，私钥不会暴露在互联网上，降低泄密概率

总之，强烈推荐站长和服务器平台用 Let’s Encrypt 向访客提供加密连接。这是域名认证未来的发展方向。

Certbot

电子前哨基金会（EFF）为 Let’s Encrypt 推出了客户端 Certbot。通过 Certbot，你可以自动部署 Let’s Encrypt 证书，以便为网站加上 HTTPS 支持。

https://certbot.eff.org/#centos6-nginx

安装

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

NGINX 配置

    location /.well-known {
        default_type "text/plain";
        root /var/www/html;
    }

获得证书

./certbot-auto certonly --webroot -w /var/www/cert -d 域名 -m 邮箱 --agree-tos

自动续期

./certbot-auto renew --quiet

NGINX SSL 配置

server {
    listen 80 default_server;
    server_name 域名;
    return 301 https://$server_name$request_uri;
}
server {
    listen 443 ssl;
    #listen [::]:443 ssl ipv6only=on;
    server_name 域名;
    ssl on;
    ssl_certificate fullchain.pem;
    ssl_certificate_key privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers "ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5";
    #ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4";
    keepalive_timeout    70;
    ssl_session_cache    shared:SSL:10m;
    ssl_session_timeout  10m;
    ssl_dhparam dhparam.pem;
    add_header Strict-Transport-Security max-age=63072000;
    add_header X-Frame-Options SAMEORIGIN;
    add_header X-Content-Type-Options nosniff;
    ...
}