centos 配置泛域名https证书

发表于 | 更新于 | 评论数: | 阅读次数:
本文字数: 2.2k | 阅读时长 ≈ 2 分钟

前言

2018年1月份Letsencrypt可以申请泛域名证书,这让我们部署多域名、多站点https省了很多功夫,终于可以不用维护多个域名的https证书。笔者以acme.sh为例,手把手教你配置https证书~

本教程适用于centos 6.x的linux服务器

acme.sh

acme.sh是国人开发的基于ACME协议的shell脚本,有了它可以很方便的从Letsencrypt生成免费的证书

详细步骤

一: 安装acme.sh

1
curl  https://get.acme.sh | sh

执行上述命令后,会在/root文件夹下建立一个.acme.sh的目录,里面放置了一些运行需要的脚本;同时,会注册一个检验证书是否到期的crontab任务,当证书到期时会自动更新;另外,安装完重启终端后,可以在终端直接使用acme.sh别名进行操作

安装过程中可能会遇到curl errcode: 35的问题,这个时侯只需更新一下NSS(MNetwork Security Services 网络安全服务)即可,命令如下:

1
yum update nss

二:生成证书

acme.sh实现了 acme 协议支持的所有验证协议,一般有两种方式验证:http验证和dns验证

http验证

http方式需要在你的网站根目录放置一个文件验证所有权,验证通过后就可以生成证书了。笔者没有采用这种方式,具体操作可以 参考这篇wiki

dns验证

dns有验证有两种途径,一种是手动解析域名,然后生成一个解析记录,给域名配置上一个txt记录就可以验证了,具体操作也可以参考上面提到的wiki,笔者曾尝试使用这种方法,不知道是姿势不对还是别的什么原因,没有任何返回任何值

dns验证的另一种途径是通过域名解析商提供的api来自动添加txt记录完成验证,目前支持dnspod、aliyun等数种域名解析商,笔者以dnspod为例进行操作

首先登陆dnspod控制台,找到用户中心 - 安全设置,新建一个API TOKEN,新建完不要关闭窗口,一会还要复制里面的id和key,然后在终端中输入:

1
2
3
export DP_Id="id" # 你刚才生成的Id
export DP_Key="token" # 你刚才生成的token
acme.sh --issue --dns dns_dp -d *.gaojiajun.cn # dns_dp表示以dnspod解析,-d后面的为你的主域名

之后,你可以在/root/.acme.sh/你的域名下面看到生成的证书

Tips: *.gaojiajun.cngaojiajun.cn是两个不同的证书,所以需要申请两次

复制证书

不要将nginx配置文件里面的证书地址指向/root/.acme.sh/你的域名,因为里面的文件夹结构可能会变。需要将证书复制到别的位置

1
acme.sh --installcert -d  *.<domain> --key-file /home/ssl/*.<domain>.key --fullchain-file /home/ssl/fullchain.cer --reloadcmd "service nginx force-reload"

之后你就可以在/home/ssl/下面找到两个文件

部署证书

修改nginx配置文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
server {
    listen 80;
    server_name i.gaojiajun.cn; # 你的域名
    rewrite ^(.*) https://$server_name$1 permanent; # 重定向80端口到443端口
}
server {
    server_name  i.gaojiajun.cn; # 你的域名
    listen 443 ssl;
    ssl_certificate /home/ssl/fullchain.cer; #证书位置
    ssl_certificate_key /home/ssl/*.gaojiajun.cn.key;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    location / {
        root   /home/nginx/; # index所在的位置
        index  index.html index.htm;
    }
}

重启nginx之后,访问你的网站,当你看到小绿锁出现就大功告成了

如果重启后仍然无法访问,则可能是防火墙没有开放443端口,开放即可

1
2
3
iptables --list # 列出防火墙端口
/sbin/iptables -I INPUT -p tcp --dport 443 -j ACCEPT # 开放443端口
/etc/rc.d/init.d/iptables save # 保存