自动获取/更新HTTPS证书以及实现Nginx代理WSS协议
如果说我比别人看得更远些,那是因为我站在了巨人的肩上—–牛顿
有了轮子就会事半功倍,此篇文章就是站在巨人的肩膀上做一个简单的总结。
一个快速获取/更新 Let’s encrypt 证书的 shell script
GitHub 完整说明文档
想折腾!!!自己动手生成证书可以参考这个篇博客
以下为文档详细内容以及我测试环境的配置,贴过来是为了方便离线阅读
脚本中是调用 acme_tiny.py 认证、获取、更新证书,不需要额外的依赖。
下载到本地
wget https://raw.githubusercontent.com/xdtianyu/scripts/master/lets-encrypt/letsencrypt.conf
wget https://raw.githubusercontent.com/xdtianyu/scripts/master/lets-encrypt/letsencrypt.sh
chmod +x letsencrypt.sh配置文件
只需要修改 DOMAIN_KEY DOMAIN_DIR DOMAINS 为你自己的信息
ACCOUNT_KEY="letsencrypt-account.key"
DOMAIN_KEY="example.com.key"
DOMAIN_DIR="/var/www/example.com"
DOMAINS="DNS:example.com,DNS:whatever.example.com"
#ECC=TRUE
#LIGHTTPD=TRUE执行过程中会自动生成需要的 key 文件。其中 ACCOUNT_KEY 为账户密钥, DOMAIN_KEY 为域名私钥, DOMAIN_DIR 为域名指向的目录,DOMAINS 为要签的域名列表, 需要 ECC 证书时取消 #ECC=TRUE 的注释,需要为 lighttpd 生成 pem 文件时,取消 #LIGHTTPD=TRUE 的注释。
运行
./letsencrypt.sh letsencrypt.conf注意
需要已经绑定域名到 /var/www/example.com 目录,即通过 http://example.com http://whatever.example.com 可以访问到 /var/www/example.com 目录,用于域名的验证
将会生成如下几个文件
lets-encrypt-x1-cross-signed.pem
example.chained.crt # 即网上搜索教程里常见的 fullchain.pem
example.com.key # 即网上搜索教程里常见的 privkey.pem
example.crt
example.csr
在 nginx 里添加 ssl 相关的配置
ssl_certificate /path/to/cert/example.chained.crt;
ssl_certificate_key /path/to/cert/example.com.key;
cron 定时任务
每个月自动更新一次证书,可以在脚本最后加入 service nginx reload等重新加载服务。
0 0 1 * * /etc/nginx/certs/letsencrypt.sh /etc/nginx/certs/letsencrypt.conf >> /var/log/lets-encrypt.log 2>&1生成证书后的目录结构
[root@izwz9fkgp9zwe2ol6e6darz letsencrypt]# ll
总用量 36
-rw-r--r-- 1 root root 5462 5月 15 18:16 子域名前缀.chained.crt
-rw-r--r-- 1 root root 3815 5月 15 18:16 子域名前缀.crt
-rw-r--r-- 1 root root 932 5月 15 18:16 子域名前缀.csr
-rw-r--r-- 1 root root 1675 5月 15 18:16 域名.key
-rw-r--r-- 1 root root 3243 5月 15 18:16 letsencrypt-account.key
-rw-r--r-- 1 root root 226 5月 15 18:15 letsencrypt.conf
-rwxr-xr-x 1 root root 2170 5月 5 12:12 letsencrypt.sh
-rw-r--r-- 1 root root 1647 1月 20 09:16 lets-encrypt-x3-cross-signed.pem比如域名为:javen.qq.com 那么子域名前缀为 javen
示例配置
脚本配置文件
letsencrypt.conf 将其中的域名修改为自己的域名
# only modify the values, key files will be generated automaticly.
ACCOUNT_KEY="letsencrypt-account.key"
DOMAIN_KEY="域名.key"
DOMAIN_DIR="/home/www"
DOMAINS="DNS:域名"
#ECC=TRUE
#LIGHTTPD=TRUENginx配置
nginx.conf配置文件在 /usr/local/nginx/conf/
主要配置日志格式以及引用外部的配置文件。避免所有配置都配置到一个配置文件导致臃肿。
#user nobody;
worker_processes 1;
#error_log logs/error.log;
#error_log logs/error.log notice;
#error_log logs/error.log info;
#pid logs/nginx.pid;
events {
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /home/logs/nginx/logs/access.log main;
sendfile on;
#tcp_nopush on;
server_tokens off;
#keepalive_timeout 0;
keepalive_timeout 65;
gzip on;
client_max_body_size 5m;
include conf.d/*.conf;
# another virtual host using mix of IP-, name-, and port-based configuration
#
#server {
# listen 8000;
# listen somename:8080;
# server_name somename alias another.alias;
# location / {
# root html;
# index index.html index.htm;
# }
#}
# HTTPS server
#
#server {
# listen 443 ssl;
# server_name localhost;
# ssl_certificate cert.pem;
# ssl_certificate_key cert.key;
# ssl_session_cache shared:SSL:1m;
# ssl_session_timeout 5m;
# ssl_ciphers HIGH:!aNULL:!MD5;
# ssl_prefer_server_ciphers on;
# location / {
# root html;
# index index.html index.htm;
# }
#}
}https.conf 配置文件可以放在/usr/local/nginx/conf/conf.d/
生成证书之前只需要配置80端映射到letsencrypt.conf中DOMAIN_DIR指定的目录,生成证书后就可以配置https测试。
upstream websocket {
server localhost:5000;
}
server {
listen 80;
server_name 你的域名;
access_log /home/logs/nginx/logs/http.access.log main;
location / {
root /home/www/;
index index.html index.htm;
}
}
server {
listen 80;
server_name wx.javen.cc;
rewrite ^(.*)$ https://$server_name$1 permanent;
}
server {
listen 443;
server_name 你的域名;
ssl on;
ssl_certificate /home/letsencrypt/子域名前缀.chained.crt;
ssl_certificate_key /home/letsencrypt/域名.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
location / {
root /home/www/;
index index.html index.htm;
}
#wss协议转发 小程序里面要访问的链接
location /wss {
proxy_pass http://websocket;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "Upgrade";
proxy_set_header Host $host;
proxy_cache_bypass $http_upgrade;
}
}如果有疑问欢迎留言一起讨论。