[038] 实战：SSL泛域名证书申请和配置

 

为了在网站上启用 HTTPS，我们需要从证书颁发机构（CA）申请 SSL 证书。Let’s Encrypt 是一个证书颁发机构，向 Let’s Encrypt 申请证书是免费的。Let's Encrypt 支持泛域名证书，不需要为每个子域名单独申请证书。本文以申请泛域名证书为例，详细介绍安装和配置 SSL 证书的过程。

目前常用的 Let's Encrypt 证书生成工具有 ​​certbot​​​、​​acme.sh​​​、​​acme-tiny​​​，本文使用的是 ​​acme.sh​​​。​​acme.sh​​ 申请和安装泛域名 SSL 证书相对来说是比较方便的。

1安装  acme.sh

安装过程需要服务器已安装 ​​socat​​ 模块，它是一个多功能的网络小工具。

dnf install socat -y

通过下面命令安装 ​​acme.sh​​ ，Email 用来接收重要重要通知，如证书快到期未更新会收到通知。

curl https://get.acme.sh | sh -s email=my@example.com

执行命令后几秒就安装好了，如果半天没有反应请 ​​Ctrl+C​​​ 后重新执行命令。​​acme.sh​​​ 安装在 ​​~/.acme.sh​​ 目录下，并自动创建了一个 cronjob，每天 0:00 点自动检测所有的证书，如果快过期了, 则会自动更新。

安装后，理论上会自动添加一个 ​​acme.sh​​​ 全局应用别名，但有时候会 ​​command not found​​​，需要手动执行以下命令：​​source ~/.bashrc​​​ 或 ​​source ~/.bash_profile​​，或关掉终端重新打开，然后再继续下一步。

2生成证书

​​acme.sh​​ 实现了 acme 协议支持的所有验证协议，一般有三种验证方式：HTTP 方式、手动 DNS 方式和 DNS API 方式。推荐使用 DNS API 方式。

1. HTTP 方式

HTTP 方式需要在你的网站根目录下放置一个文件, 来验证你的域名所有权以完成验证，然后就可以生成证书了。

acme.sh --issue -d example.com --webroot /path/to/example.com/

​​acme.sh​​  会自动的生成验证文件，并放到网站的根目录，然后自动完成验证，最后会自动删除验证文件。

如果你用的 Nginx 服务器，​​acme.sh​​  还可以智能的从 Nginx 的配置中自动完成验证，你不需要指定网站根目录。

acme.sh --issue -d example.com --nginx

注意，HTTP 验证方式不支持生成泛域名证书。

2. 手动 DNS 方式

这种方式需要手动在域名上添加一条 TXT 解析记录，验证域名所有权。这种方式的好处是, 你不需要任何服务器，不需要任何公网 IP，只需要 DNS 的解析记录即可完成验证。

执行以下命令进行手动 DNS 验证：

acme.sh --issue -d example.com -d "*.example.com" --dns \
--yes-I-know-dns-manual-mode-enough-go-ahead-please

到 DNS 解析中，新增一条 TXT 记录，域名前缀为 ​​_acme-challenge​​​，记录值为终端输出的 ​​TXT value​​ 的值。然后再次执行：

acme.sh --renew -d example.com -d "*.example.com" \
--yes-I-know-dns-manual-mode-enough-go-ahead-please

注意：这种方式的坏处是，如果不同时配置 DNS API，将无法自动更新证书，每次都需要手动再次重新解析验证域名所有权。

3. DNS API 方式

自动 DNS 验证方式需要使用域名解析服务商的 DNS API，像腾讯云（DNSPos）和阿里云都提供 DNS API 功能。

如果你用的是腾讯云 DNSPod，在右上角头像下拉中选择“API 密钥”，点击“DNSPos Token”创建密钥：

如果你用的是阿里云，在右上角头像下拉中选择“AccessKey 管理”，创建密钥：

创建好密钥后，使用如下命令把它们的 Id 和 Token 或 Secret 放到环境变量中：

# 腾讯云
export DP_Id="YourId"
export DP_Key="YourToken"

# 阿里云
export Ali_Key="YourAccessKeyId"
export Ali_Secret="YourAccessKeySecret"

再通过下面命令生成证书：

# 腾讯云
acme.sh --issue --dns dns_dp -d example.com -d *.example.com

# 阿里云
acme.sh --issue --dns dns_ali -d example.com -d *.example.com

注意：这里第一个域名为顶级域名，后面一个为泛域名。这种方式将自动为你的域名添加一条  TXT  解析，验证成功后，这条解析记录会被删除，对你来说是无感的。

证书生成成功后，默认保存在 ​​~/.acme.sh/example.com/​​​ 目录中。请不要直接使用 ​​~/.acme.sh/​​ 目录下的文件，这里面的文件都是内部使用的，而且目录结构可能会变化，我们需要把证书复制到需要用的地方去。

3安装证书

在 ​​~/.acme.sh/example.com/​​​ 目录生成的证书文件中，我们主要需要用到两个文件：​​fullchain.cer​​​ 和 ​​example.com.key​​。下面以 Nginx 为例，来看看如何安装证书。

1. 创建通用 SSL 配置文件

在 ​​/etc/ginx/​​​ 目录下，创建一个为名 ​​ssl-options.conf​​ 的 SSL 通用配置文件，内容参考如下：

ssl_protocols               TLSv1.2 TLSv1.3;
ssl_ciphers                 ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers   off;
ssl_session_cache           shared:le_nginx_SSL:10m;
ssl_session_timeout         1200m;
ssl_session_tickets         on;
ssl_stapling                on;

参数说明：

• • 
    
• ​​ssl_protocols​​：加密协议；
• ​​ssl_ciphers​​：加密算法；
• ​​ssl_prefer_server_ciphers​​：服务端加密算法优先；
• ​​ssl_session_cache​​：会话缓存；
• ​​ssl_session_timeout​​：用户会话缓存失效时间，对安全性有高要求的站点需要降低该值；
• ​​ssl_stapling​​：启用 OCSP 可减少用户验证证书的时间；
• ​​ssl_session_tickets​​：为复用会话创建或加载 Ticket Key。
  • 
    

2. 生成 dhparam.pem

OpenSSL 的 dhparam 用于生成和管理 dh 文件。dh(Diffie-Hellman) 是著名的密钥交换协议，它可以保证通信双方安全地交换密钥。

使用如下命令生成一个 ​​dhparam.pem​​ 文件：

openssl dhparam -out /etc/nginx/dhparam.pem 2048

3. 为 Nginx 站点配置证书

先为网站的证书创建一个存放目录：

mkdir -p /etc/nginx/cert/example.com

目录中的文件我们后面通过脚本复制进来，这里先不管。

打开对应的 Nginx 站点配置文件，例如：​​/etc/nginx/conf.d/example.com.conf​​，参考编辑其内容如下：

# /etc/nginx/conf.d/example.com.conf
server {
    listen              80;
    server_name         example.com www.example.com;
return              301 https://$host$request_uri;
}

server {
    listen              443 ssl;
    server_name         example.com www.example.com;
    server_tokens       off; # 禁止在响应报文中包含Nginx版本信息

    ssl_certificate     /etc/nginx/cert/example.com/fullchain.cer;
    ssl_certificate_key /etc/nginx/cert/example.com/example.com.key;
    include             /etc/nginx/ssl-options.conf;
    ssl_dhparam         /etc/nginx/dhparam.pem;

if ($host != 'example.com' ) {
return          301 https://example.com$request_uri;
    }

    location / {
        proxy_pass          http://127.0.0.1:3000;
        proxy_http_version  1.1;
        proxy_set_header    Upgrade $http_upgrade;
        proxy_set_header    Connection keep-alive;
        proxy_set_header    Host $host;
        proxy_cache_bypass  $http_upgrade;
        proxy_set_header    X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header    X-Forwarded-Proto $scheme;
    }
}

4. 安装和自动更新证书

不要直接复制证书到目标目录，正确的方式是使用 ​​-install-cert​​​ 命令安装。在命令中指定目标位置，证书文件会被复制到相应的位置。并且，可以指定 ​​reloadcmd​​​ 命令，当证书更新以后，​​reloadcmd​​ 命令会被自动调用，让新的配置生效。

执行如下安装命令完成证书安装：

acme.sh --install-cert -d example.com \
--key-file       /etc/nginx/cert/example.com/example.com.key \
--fullchain-file /etc/nginx/cert/example.com/fullchain.cer \
--reloadcmd      "systemctl force-reload nginx"

这里指定的所有参数都会被自动记录下来，并在将来证书自动更新以后, 被再次自动调用。证书在到期之前会自动更新，你无需任何操作。

4更新 acme.sh

目前由于 acme 协议和 Let's Encrypt CA 都在频繁的更新，因此 ​​acme.sh​​ 也经常更新以保持同步。

手动升级 acme.sh 到最新版：

acme.sh --upgrade

如果你不想手动升级，可以开启自动升级：

acme.sh --upgrade --auto-upgrade

你也可以随时关闭自动更新：

acme.sh --upgrade --auto-upgrade 0

5参考

acme.sh 官方文档：
https://github.com/acmesh-official/acme.sh/wiki