let's encrypt基础知识

• let's encrypt是一个认证机构（Certificate Authority = CA）
• 想使用HTTPS需要认证机构颁发的电子证书
• Let’s Encrypt和其他认证机构的区别（或者说是卖点）：
  • 免费，Let’s Encrypt提供期限是90天的免费电子证书
  • 提供工具certbot自动生成电子证书文件
• Let's Encrypt为了自动生成电子证书搞了一个ACME协议
  • Automatic Certificate Management Environment=ACME，自动认证管理环境协议
  • 协议草案已经提交IETF
  • ACME协议的基本思路是：
    • 在你服务器上生成一次性的随机特征数据(nonce)
    • 然后通过Let’s Encrypt的服务器核对这个数据
    • 核对成功发放证书
    • 有两种方式，HTTP和DNS，一般使用的是前者

安装和le t's encrypt

本文使用的环境是：

• Ubuntu 16.04 Server
• Nginx 1.12.0
• certbot，let's encrypt提供的工具

本文安装配置，基本参考了以下两篇文章：

• certbot 官方安装文档
• How to setup Let's Encrypt for Nginx on Ubuntu 16.04

需要先配置好Nginx和需要HTTPS的网站

比如：http://www.mydomain.com，已经正确配置Nginx，正常访问了。

本文以下就以www.mydomian.com域名的网站为例，说明如何配置https。

选择webroot方式

certbot提供了两种安装配置方式：

• webroot，在已存在的Nginx上配置https
• standalone，certbot帮助创建带https的Nginx

我们使用webroot方式。

创建letsencrypt.conf

创建文件：/etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ {
        default_type "text/plain";
        root /var/www/letsencrypt;
}

创建配置文件需要的目录：

sudo mkdir -p /var/www/letsencrypt/.well-known/acme-challenge

创建ssl.conf

创建文件：/etc/nginx/snippets/ssl.conf

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;

ssl_protocols TLSv1.2;
ssl_ciphers EECDH+AESGCM:EECDH+AES;
ssl_ecdh_curve secp384r1;
ssl_prefer_server_ciphers on;

ssl_stapling on;
ssl_stapling_verify on;

add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

修改http网站的配置

找到www.mydomain.com网站在Nginx上的配置文件，比如 /etc/nginx/conf.d/www.mydomain.com.conf

server {
        listen 80;
        server_name www.mydomain.com;

        include /etc/nginx/snippets/letsencrypt.conf; # 需要增加的内容

        root /var/www/www.mydomain.com;
        index index.html;
        location / {
                try_files $uri $uri/ =404;
        }
}

配置好后，重新加载Nginx：

sudo systemctl reload nginx

安装certbot

sudo apt-get install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install certbot

certbot执行对域名的认证

certbot certonly --webroot --agree-tos --no-eff-email --email yourname@163.com -w /var/www/letsencrypt -d www.mydomain.com

Nginx配置https网站

上一步生成了https所需的的证书。下面将它们配置到Nginx文件中。

/etc/nginx/conf.d/www.mydomain.com.conf增加一个server块：

server {
    server_name www.mydomain.com;
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    ssl_certificate /etc/letsencrypt/live/www.mydomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/www.mydomain.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/www.mydomain.com/fullchain.pem;
    include /etc/nginx/snippets/ssl.conf;

    root /var/www/www.mydomain.com;
    index index.html;
    location / {
        try_files $uri $uri/ =404;
    }
}

重新加载Nginx：

sudo systemctl reload nginx

这时，应该能通过https访问网站了。

强制http重定向到https

将Nginx配置文件，http部分，配置为：

server {
        listen 80;
        server_name www.mydomain.com;

        include /etc/nginx/snippets/letsencrypt.conf;

        location / {
                return 301 https://www.mydomain.com$request_uri;
        }
}

定时更新证书

certbot生成的证书是有90天期限的。

可以通过命令，重新生成新的证书：

sudo certbot renew

需要设置定时任务让renew自动化。

创建文件，/etc/letsencrypt/letsencrypt.sh，当定时任务触发时调用的脚本文件。

#!/bin/bash
systemctl reload nginx

# If you have other services that use the certificates:
# systemctl restart mosquitto

设置脚本文件可执行权限：

chmod +x /etc/letsencrypt/letsencrypt.sh

编辑cron列表：

sudo crontab -e

增加1行：

20 3 * * * certbot renew --noninteractive --renew-hook /etc/letsencrypt/letsencrypt.sh

任务将在每天3:20执行。

如何查看日志

比如想知道定时任务执行是否成功：

sudo tail -f /var/log/letsencrypt/letsencrypt.log