又到了自己造轮子的季节。
现在部署网站都要上https了吧,不过去购买授权的SSL证书太贵。一年基本要好一两千。而且如果要上通配符的形式的话,价格就更贵了。如果只是自己部署的工具站点的话,完全没有必要。
当然,现有有一些提供了免费的SSL证书的网站,比如Let’s Encrypt - Free SSL/TLS Certificates。不过,这个工具使用是貌似需要服务器能够从外网访问,而且需要经常性的更新。(第一个问题比较致命,我的服务器是放在学校的教育网的,学校封锁了外部进入的流量,导致Let's Encrypt没法用)。
因此我这次自己做了一个轮子,可以方便的生成自己的证书系统。虽然想要拿去做公开站点比较麻烦(主要是浏览器会WARNING),但是用于自己用的工具站点来说还是相当够用的。
工程地址在GitHub - huangy10/quick-ca-signer: Tool to create your own ssl certificate。
安装方法
将工程clone下来,然后进入工程目录,运行
sudo su
apt-get update
apt-get install openssl
./install.sh -l
简单使用场景
假设你需要为域名youdomain.com上https,那么顺序执行下面的指令就可以了
$ woodyssl -c -subj "/C=CN/ST=Beijing/L=Beijing/O=Tsinghua/CN=Vlion Club"
$ woodyssl -c -d yourdomain.com
$ woodyssl -l
yourdomain.com
$ woodyssl -d yourdomain.com -e path/to/export/certficates
第一行命令会创建你自己的根证书。并且记录一些描述性的信息,"/C=CN/ST=Beijing/L=Beijing/O=Tsinghua/CN=Vlion Club"中,/C代表国家,/ST代表省份,/L代表城市,/O代表组织名称,/CN达标常用名。你可以替换成你需要的值。程序会将证书相关内容放在~/.woodyssl下。
第二行命令会为域名创建证书
第三行命令列出现在创建了证书的域名
第四行将站点证书导出到一个文件夹中。之后你就可以在nginx中使用这些证书了。
(更多的命令运行woodyssl -h查看吧)
将根证书加入本机的信任列表来关闭浏览器的警告信息
先在主流的浏览器对于非权威机构的根证书都会弹出警告,部分甚至会禁止用户访问(某果的某Safari)。为了避免这些问题你需要将根证书加入本机的信任列表。
使用下面的命令导出根证书
$ woodyssl -e path/to/export/root-ca
导出的文件包含root-ca.crt和root-ca.key,其中前者是证书文件,后者是秘钥。具体的本机添加新任列表请读者自行GOOGLE一下,这里就不赘述了。
补充
这里给出一个nginx的https配置参考
server {
listen 80;
server_name yourdomain.com;
error_log /absolute/path/to/error.log;
access_log /absolute/path/to/access.log;
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://localhost:8080;
}
client_max_body_size 50m;
listen 443 ssl;
# SSL
ssl_certificate /path/to/yourdomain.com.crt;
ssl_certificate_key /path/to/yourdomain.key;
# Recommendations from https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html
ssl_protocols TLSv1.1 TLSv1.2;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
chunked_transfer_encoding on;
if ($scheme != "https") {
return 301 https://$host$request_uri;
}
}
