本文是我参考互联网上一些 HTTPS 相关文章, 而后自己实践而来
主要内容由 获取证书 ,Nginx TSL 配置 两部分组成
项目环境搭建
- Git (安装 Git)
- Nginx (Nginx 安装配置)
获取证书
安装完 Git 后, 克隆 certbot( 原名 letsencrypt) 项目1
2$ git clone https://github.com/certbot/certbot
$ cd certbot
克隆完成后, 此时可以通过命令获取证书
Webroot
该方式适用于本机中正在运行中的项目, 无须停止服务器即可申请1
$ ./certbot-auto certonly --webroot -w /usr/local/nginx/html --email admin@example.com -d example.com -d www.example.com -d other.example.com
--webroot 为申请方式类型-w /usr/local/nginx/html 配置申请域名项目的 Webroot 跟路径, 以静态页面为例1
2
3
4location / {
root /usr/local/nginx/html;
index index.html;
}
该方式会在 /usr/local/nginx/html 目录下创建一个 .well-known/acme-challenge 文件夹, 然后生成一个随机文件进行访问. 如
http://example.com/.well-known/acme-challenge/HGr8U1IeTW4kY_Z6UIyaakzOkyQgPr_7ArlLgtZE8SX
如果项目进行了反向代理, 请确保 -w 参数后面路径为 代理项目所在的根目录--email admin@example.com 为申请者的 邮箱 , 在证书快过期时, 会发送通知邮件-d example.com 为要 申请的域名 , 允许存在多个, 格式为 -d 域名 -d 域名, 但要求域名访问地址为本机
Standalone
该方式需要 确保 80,443 端口没有被占用 1
$ ./certbot-auto certonly --standalone --email admin@example.com -d example.com -d www.example.com -d other.example.com
--standalone 为申请方式类型--email admin@example.com -d example.com 参数参考 Webroot 方式
如果验证没有问题, 稍候页面会弹出一个协议对话框, 点击 Agree 即可
Manual
该方式适用于申请证书服务器不是域名所在服务器的情况1
$ ./certbot-auto certonly --manual --email admin@example.com -d example.com -d www.example.com -d other.example.com
--standalone 为申请方式类型--email admin@example.com 参数参考 Webroot 方式-d example.com 为需要申请的域名,需要拥有对该域名所在机器的读写权限
运行后, 会要求用户在域名所在服务器的项目跟目录创建一个文件, 并指定文件内容1
2
3
4
5
6
7
8
9
10
11
12Make sure your web server displays the following content at
http://example.com/.well-known/acme-challenge/VE_oSzihad5ZNYPnE_OLT2aQ-BdT_M3z5ITj53wQ-Oc before continuing:
VE_oSzihad5ZNYPnE_OLT2aQ-BdT_M3z5ITj53wQ-Oc.JhmxNt13DUzzmC4_7VfnfWh1gmePbExxQygAMf9KTSo
# 省略
# /tmp/certbot/public_html 应为域名所在服务器的项目跟路径
mkdir -p /tmp/certbot/public_html/.well-known/acme-challenge
# 进入项目跟路径
cd /tmp/certbot/public_html
# 指定内容输入到指定文件中
printf "%s" VE_oSzihad5ZNYPnE_OLT2aQ-BdT_M3z5ITj53wQ-Oc.JhmxNt13DUzzmC4_7VfnfWh1gmePbExxQygAMf9KTSo > .well-known/acme-challenge/VE_oSzihad5ZNYPnE_OLT2aQ-BdT_M3z5ITj53wQ-Oc
# 省略
Press Enter to Continue
操作完成后按下回车键即可
申请操作成功后, 会在界面中输出证书的存放路径, 以及证书的到期时间 (90 天 )1
2
3
4
5
6
7
8
9
10
11IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert
will expire on 2017-08-17. To obtain a new or tweaked version of
this certificate in the future, simply run certbot-auto again. To
non-interactively renew *all* of your certificates, run
"certbot-auto renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
生成证书中会创建 /etc/letsencrypt 文件夹, 证书文件默认存放在 /etc/letsencrypt/live/example.com 文件夹中, 其中 example.com 取自第一个域名
在 example.com 文件夹中包含 4 个文件 cert.pem chain.pem fullchain.pem privkey.pem
- cert.pem 域名证书
- chain.pem 根证书及中间证书
- fullchain.pem 由
cert.pem和chain.pem合并而成 - privkey.pem 证书私钥
创建一个 2048 位的 Diffie-Hellman 文件 (nginx 默认使用 1024 位的 Diffie–Hellman 进行密钥交换, 安全性太低)1
openssl dhparam -out /etc/letsencrypt/live/dhparams.pem 2048
nginx TSL 配置
首先对 http 协议进行 301 重定向到 https 协议1
2
3
4
5server {
listen 80;
server_name example.com www.example.com;
return 301 https://example.com$request_uri;
}
https 相关配置1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43server {
listen 443 ssl;
server_name example.com www.example.com;
# 配置站点证书文件地址
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
# 配置证书私钥
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
# 配置 Diffie-Hellman 交换算法文件地址
ssl_dhparam /etc/letsencrypt/live/dhparams.pem;
# 配置服务器可使用的加密算法
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
# 指定服务器密码算法在优先于客户端密码算法时,使用 SSLv3 和 TLS 协议
ssl_prefer_server_ciphers on;
# ssl 版本 可用 SSLv2,SSLv3,TLSv1,TLSv1.1,TLSv1.2
# ie6 只支持 SSLv2,SSLv3 但是存在安全问题, 故不支持
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# 配置 TLS 握手后生成的 session 缓存空间大小 1m 大约能存储 4000 个 session
ssl_session_cache shared:SSL:50m;
# session 超时时间
ssl_session_timeout 1d;
# 负载均衡时使用 此处暂时关闭 详情见 https://imququ.com/post/optimize-tls-handshake.html
# 1.5.9 及以上支持
ssl_session_tickets off;
# 浏览器可能会在建立 TLS 连接时在线验证证书有效性,从而阻塞 TLS 握手,拖慢整体速度。OCSP stapling 是一种优化措施,服务端通过它可以在证书链中封装证书颁发机构的 OCSP(Online Certificate Status Protocol)响应,从而让浏览器跳过在线查询。服务端获取 OCSP 一方面更快(因为服务端一般有更好的网络环境),另一方面可以更好地缓存 以上内容来自 https://imququ.com/post/my-nginx-conf-for-wpo.html
# 1.3.7 及以上支持
ssl_stapling on;
ssl_stapling_verify on;
# 根证书 + 中间证书
ssl_trusted_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
# HSTS 可以告诉浏览器,在指定的 max-age 内,始终通过 HTTPS 访问该域名。即使用户自己输入 HTTP 的地址,或者点击了 HTTP 链接,浏览器也会在本地替换为 HTTPS 再发送请求 相关配置见 https://imququ.com/post/sth-about-switch-to-https.html
add_header Strict-Transport-Security max-age=60;
# 在此填写原本 http 协议中的配置
}
以上配置完成后, 重启 nginx 即可完成对 https 的切换
证书续期
使用以下命令即可进行 续期 , 续期成功后需要 Nginx 重新启动 1
$ ./certbot-auto renew
该命令只会对快到期的证书才会进行更新, 如果希望强制更新, 可以增加 --force-renewal 参数
证书测试
通过 Qualys SSL labs 提供的 SSL Server Test 服务可以查看网站的当前配置, 以及测试网站安全评分
另外该网站缓存了一些知名网站的测试结果, 点击以下链接可进行查看
其他说明
如果一个 IP 需要配置多张证书, 请查看 关于启用 HTTPS 的一些经验分享(二) SNI 扩展 部分
文中 ssl_ciphers 配置参考 Mozilla SSL Configuration Generator 中的常规配置而来
Mozilla 同时也提供 TSL 配置说明文档 Security/Server Side TLS
另外也可参考 cipherli 提供的 TSL 配置模版
除了 ssl_ciphers 配置外, 其他皆是参考 Jerry Qu 的 本博客 Nginx 配置之完整篇 一文而来
另外一些配置的详情, 作用, 原理也可以在他的博客中进行搜索得知