自动获取Let's Encrypt的免费SSL证书

happysoul

浏览: 398502 次
性别:
来自: 天津

最近访客更多访客>>

yuhua8688

gaopengv

huanchou

qq447373051

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

PHP
Linux
nginx
https
ssl

git项目地址

https://github.com/kaienkira/acme-client-quick

README可以看到详细操作步骤

1.安装php和nginx，前面用来发送请求验证和获取证书，后者是让Let's Encrypt远程验证你的域名所有权
2.目录里创建domain.txt里面写上你的域名比如 www.xxx.com
3.验证需要你的80端口，怎么关自己想办法
4.使用root用户或者sudo执行 ./quick-start.sh

举例我创建了 /nas/acme 目录放了自动获取证书的程序

引用

root@localhost:/nas/acme# ./quick-start.sh
[starting cert-nginx][success]
[getting cert from Let's Encrypt][may be serveral minutes]
[stopping cert-nginx][success]

脚本原理
本地 cert 文件夹里创建key
获取验证文本放到 work/acme-challenge/ 目录中
使用本地配置文件 cert-nginx.conf 启动nginx服务
远程验证文件并在本地 cert 文件夹中生成证书文件
如果你配置了openssl的cnf文件他会直接使用
/etc/ssl/openssl.cnf
/etc/pki/tls/openssl.cnf

最后 cert目录中可以看到的文件
account.key
domain.conf
domain.csr
ssl.crt
ssl.crt.new
ssl.key

需要用到的是
ssl.crt
ssl.key

对应nginx配置上

引用

        # 我把文件移动到了 /ca/ 目录下使用
        ssl_certificate      /ca/ssl.crt;
        ssl_certificate_key /ca/ssl.key;
        ssl_protocols SSLv2 SSLv3 TLSv1;
        ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
        ssl_prefer_server_ciphers   on;

原来使用80端口的可以使用下面的代码将80的请求转到https上

引用

server{
    listen 80 default_server;
    listen [::]:80 default_server;
    rewrite ^(.*)$ https://$host$1 permanent;
}
server{
    listen 443 ssl default_server;
    ssl                  on;
    ssl_certificate      /ca/ssl.crt;
    ssl_certificate_key /ca/ssl.key;
    ssl_protocols SSLv2 SSLv3 TLSv1;
    ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
    ssl_prefer_server_ciphers   on;

    # 原来你有的80请求处理可以放到这里
    location / {
                autoindex off;
                autoindex_exact_size on;
                autoindex_localtime on;
                index index.html;
        }
    # 更多的东西略
}

上面的图是我使用的 3322 的ddns域名

后面附上 3322 注册域名的方法，方法是花生壳的，暂时没改IP输出的部分

#!/bin/bash
ipaddr=`lynx -mime_header -auth=用户名:密码 "http://www.3322.org/dyndns/update?system=dyndns&hostname=你申请的.f3322.net" | egrep "[0-9]+/.[0-9]+/.[0-9]+/.[0-9]+"|
awk '{print $2}'`

date=`date "+%y-%m-%d %H:%M"`
echo $date $ipaddr

我的VPS服务器有固定的IP所以这个有没有无所谓了
只不过https需要有域名才随便搞了个