Let's Encrypt,免费好用的 HTTPS 证书

2019年11月20日 阅读数:47
这篇文章主要向大家介绍Let's Encrypt,免费好用的 HTTPS 证书,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。

#参考https://imququ.com/post/letsencrypt-certificate.html
#####argparse安装
#http://www.cnblogs.com/emanlee/p/4577249.htmlhtml

很早以前我就在关注 Let's Encrypt 这个免费、自动化、开放的证书签发服务。它由 ISRG(Internet Security Research Group,互联网安全研究小组)提供服务,而 ISRG 是来自于美国加利福尼亚州的一个公益组织。Let's Encrypt 获得了 Mozilla、Cisco、Akamai、Electronic Frontier Foundation 和 Chrome 等众多公司和机构的支持,发展十分迅猛。python

申请 Let's Encrypt 证书不但免费,还很是简单,虽然每次只有 90 天的有效期,但能够经过脚本按期更新,配好以后一劳永逸。通过一段时间的观望,我也正式启用 Let's Encrypt 证书了,本文记录本站申请过程和遇到的问题。nginx

我没有使用 Let's Encrypt 官网提供的工具来申请证书,而是用了 acme-tiny 这个更为小巧的开源工具。如下内容基本按照 acme-tiny 的说明文档写的,省略了一些我不须要的步骤。git

ACME 全称是 Automated Certificate Management Environment,直译过来是自动化证书管理环境的意思,Let's Encrypt 的证书签发过程使用的就是 ACME 协议。有关 ACME 协议的更多资料能够在这个仓库找到。github

建立账号

首先建立一个目录,例如 ssl,用来存放各类临时文件和最后的证书文件。进入这个目录,建立一个 RSA 私钥用于 Let's Encrypt 识别你的身份:shell

openssl genrsa 4096 > account.key

建立 CSR 文件

接着就能够生成 CSR(Certificate Signing Request,证书签名请求)文件了。在这以前,还须要建立域名私钥(必定不要使用上面的帐户私钥),根据证书不一样类型,域名私钥也能够选择 RSA 和 ECC 两种不一样类型。如下两种方式请根据实际状况二选一。api

1)建立 RSA 私钥(兼容性好):浏览器

openssl genrsa 4096 > domain.key

2)建立 ECC 私钥(部分老旧操做系统、浏览器不支持。优势是证书体积小):安全

BASH#secp256r1
openssl ecparam -genkey -name secp256r1 | openssl ec -out domain.key

#secp384r1
openssl ecparam -genkey -name secp384r1 | openssl ec -out domain.key

有关 ECC 证书的更多介绍,请点击这里bash

有了私钥文件,就能够生成 CSR 文件了。在 CSR 中推荐至少把域名带 www 和不带 www 的两种状况都加进去,其它子域能够根据须要添加(目前一张证书最多能够包含 100 个域名):

openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yoursite.com,DNS:www.yoursite.com")) > domain.csr

执行这一步时,若是提示找不到 /etc/ssl/openssl.cnf 文件,请看看 /usr/local/openssl/ssl/openssl.cnf 是否存在。若是仍是不行,也可使用交互方式建立 CSR(须要注意 Common Name 必须为你的域名):

openssl req -new -sha256 -key domain.key -out domain.csr

配置验证服务

咱们知道,CA 在签发 DV(Domain Validation)证书时,须要验证域名全部权。传统 CA 的验证方式通常是往 admin@yoursite.com 发验证邮件,而 Let's Encrypt 是在你的服务器上生成一个随机验证文件,再经过建立 CSR 时指定的域名访问,若是能够访问则代表你对这个域名有控制权。

首先建立用于存放验证文件的目录,例如:

mkdir ~/www/challenges/

而后配置一个 HTTP 服务,以 Nginx 为例:

NGINXserver {
    server_name www.yoursite.com yoursite.com;

    location ^~ /.well-known/acme-challenge/ {
        alias /home/xxx/www/challenges/; try_files $uri =404; } location / { rewrite ^/(.*)$ https://yoursite.com/$1 permanent; } } 

以上配置优先查找 ~/www/challenges/ 目录下的文件,若是找不到就重定向到 HTTPS 地址。这个验证服务之后更新证书还要用到,建议一直保留。

获取网站证书

先把 acme-tiny 脚本保存到以前的 ssl 目录:

wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py

指定帐户私钥、CSR 以及验证目录,执行脚本:

python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir ~/www/challenges/ > ./signed.crt

若是一切正常,当前目录下就会生成一个 signed.crt,这就是申请好的证书文件。

若是你把域名 DNS 解析放在国内,这一步极可能会遇到相似这样的错误:

ValueError: Wrote file to /home/xxx/www/challenges/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg, but couldn't download http://www.yoursite.com/.well-known/acme-challenge/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg

这是由于你的域名极可能在国外没法解析,能够找台国外 VPS 验证下。个人域名最近从 DNSPod 换到了阿里云解析,最后又换到了 CloudXNS,就是由于最近前两家在国外都很不稳定。若是你也遇到了相似状况,能够暂时使用国外的 DNS 解析服务商,例如 dns.he.net。若是仍是搞不定,也能够试试「Neilpang/le」这个工具的 DNS Mode。

搞定网站证书后,还要下载 Let's Encrypt 的中间证书。我在以前的文章中讲过,配置 HTTPS 证书时既不要漏掉中间证书,也不要包含根证书。在 Nginx 配置中,须要把中间证书和网站证书合在一块儿:

wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem

为了后续能顺利启用 OCSP Stapling,咱们再把根证书和中间证书合在一块儿:

wget -O - https://letsencrypt.org/certs/isrgrootx1.pem > root.pem
cat intermediate.pem root.pem > full_chained.pem

最终,修改 Nginx 中有关证书的配置并 reload 服务便可:

ssl_certificate     ~/www/ssl/chained.pem;
ssl_certificate_key ~/www/ssl/domain.key;

Nginx 中与 HTTPS 有关的配置项不少,这里不一一列举了。若有须要,请参考本站配置

配置自动更新

Let's Encrypt 签发的证书只有 90 天有效期,推荐使用脚本按期更新。例如我就建立了一个 renew_cert.sh 并经过 chmod a+x renew_cert.sh 赋予执行权限。文件内容以下:

BASH#!/bin/bash

cd /home/xxx/www/ssl/
python acme_tiny.py --account-key account.key --csr domain.csr --acme-dir /home/xxx/www/challenges/ > signed.crt || exit
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
service nginx reload

crontab 中使用绝对路径比较保险,crontab -e 加入如下内容:

0 0 1 * * /home/xxx/shell/renew_cert.sh >/dev/null 2>&1 

这样之后证书每月都会自动更新,一劳永逸。实际上,Let's Encrypt 官方将证书有效期定为 90 天一方面是为了更安全,更重要的是鼓励用户采用自动化部署方案。

几个问题

Let's Encrypt 证书的兼容性,全部操做系统、浏览器默认是否都能识别是你们最关心的问题。实际上,因为 Let's Encrypt 与 IdenTrust 的 DST Root CA 作了交叉认证,兼容性仍是不错的,目前我只是发如今 Android 2 和 Windows XP 下有问题(Firefox 的证书那一套是本身实现的,不依赖于系统,XP 下只有 Firefox 信任 Let's Encrypt 证书),其它环境都正常。

letsencrypt intermediate cert on winxp(Windows XP 不信任 Let's Encrypt 的中间证书)

更新:根据 Let's Encrypt 官方说明,Windows XP 下的问题很快就会解决:

A bug in Windows XP causes parsing of our current cross-signature from IdenTrust to fail. We will be correcting this by getting new cross-signatures from IdenTrust which work on Windows XP.
注:已于 2016 年 3 月 26 日解决。

另一个问题有关 ECC 证书,官网表示计划将在 2016 年提供对 ECC 证书的支持:

Right now all of our root and intermediate keys use RSA. We're planning to generate ECC keys and make an ECC option available to subscribers in 2016. via
注:Let's Encrypt 已于 2016 年 2 月 11 日开始支持签发 ECC 证书。

Let's Encrypt 官方的新特性预告能够在这个页面查看

我我的建议:对于我的用户来讲,若是很是在乎证书兼容性,能够购买 RapidSSL Standard 或者 Comodo Positive SSL 这两种证书。其中 RapidSSL 证书一共才三级,比较小;Comodo Positive 有四级,但能够申请 ECC 证书;两者都有着不错的兼容性,也很是廉价(一年不到 10$)。固然,若是不用考虑 Windows XP 用户,那么强烈推荐 Let's Encrypt!