基于 Nginx 服务器的泛域名 SSL 证书申请与部署
Nginx 服务器搭建
任务时间:5min ~ 10min
在开始实验之前,先把基础服务器搭建完毕。
安装 Nginx 服务器
这里我们使用 yum 安装 Nginx 服务器。
yum install -y nginx
启动 Nginx 服务器
安装后的 Nginx 没有启动,先启动 Nginx 服务器。
systemctl start nginx.service
开启 443 监听
Nginx 启动后默认只监听 80 端口。
这里我们把 443 端口的监听也一并开启。
编辑全局配置文件,参考代码如下:
示例代码:/etc/nginx/nginx.conf
# For more information on configuration, see:
# * Official English Documentation: http://nginx.org/en/docs/
# * Official Russian Documentation: http://nginx.org/ru/docs/
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;
# Load dynamic modules. See /usr/share/nginx/README.dynamic.
include /usr/share/nginx/modules/*.conf;
events {
worker_connections 1024;
}
http {
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;
include /etc/nginx/mime.types;
default_type application/octet-stream;
# Load modular configuration files from the /etc/nginx/conf.d directory.
# See http://nginx.org/en/docs/ngx_core_module.html#include
# for more information.
include /etc/nginx/conf.d/*.conf;
server {
listen 80 default_server;
listen [::]:80 default_server;
server_name 请输入你的域名;
rewrite ^(.*)$ https://$host$1 permanent;
root /usr/share/nginx/html;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name 请输入你的域名;
root /usr/share/nginx/html;
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
}
error_page 404 /404.html;
location = /40x.html {
}
error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}
}
请点击右侧链接进入文本编辑界面:编辑文件
PS:可打开位于右上角的 代码对比 功能。
SSL 泛域名证书
任务时间:5min ~ 10min
接下来我们将在 Let’s Encrypt 申请证书。
- 优点:免费申请到泛域名证书 。
- 缺点:证书有限期只有三个月 。
大名鼎鼎的 Github Page 使用的就是来自 Let’s Encrypt 的泛域名证书,这里我们将使用 acme.sh 脚本完成从证书申请到自动续期的一系列操作。
安装 acme.sh
- 安装脚本
curl https://get.acme.sh | sh
- 设置别名
alias acme.sh=~/.acme.sh/acme.sh
生成证书:DNS 验证方式
这里我们需要利用 DNS API 进行证书的生成。
如果你的域名是从腾讯云购得,其域名解析服务默认由 DNSPod 提供, 此时只需要 登录 DNSPod 获取 API 即可。
而如果你还没有一个 个人域名,可以在腾讯云处购买域名:腾讯云-域名注册
打开 用户中心 -> 安全设置 -> API Token
创建 API Token 并把 ID 和 Key 值记录下来。
接着在终端下导入 ID 和 key 值。
export DP_Id="你的 ID"
export DP_Key="你的 Token"
然后输入以下命令完成证书的生成:
acme.sh --issue --dns dns_dp -d domain.com -d *.domain.com
(此处假设主域名为:domain.com ,请将命令中的域名替换为你的域名)
安装证书
在 Nginx 配置文件中,有关证书路径是这样写的:
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";
我们对证书路径信息进行简单的修改:
server.crt替换为fullchain.cerserver.key替换为domain.key
打开 主配置文件,完成内容的替换:配置文件
最后 通过以下命令完成证书安装:
mkdir -p /etc/pki/nginx/private
acme.sh --installcert -d domain.com --key-file /etc/pki/nginx/private/domain.key --fullchain-file /etc/pki/nginx/fullchain.cer --reloadcmd "service nginx force-reload"
(此处假设主域名为:domain.com ,请将命令中的域名替换为你的域名)
更新证书
不用担心,acme.sh 会自动完成证书的续期操作,无需后期投入更多的精力。
目前证书 在 60 天以后会自动更新 ,你无需任何操作。今后有可能会缩短这个时间,不过都是自动的,你不用关心。
自动更新 acme.sh
为 acme.sh 开启自动更新:
acme.sh --upgrade --auto-upgrade
【可选】 CDN 泛域名分发
任务时间:5min ~ 10min
这里将以腾讯云的 CDN 示例。
前置条件:域名完成 备案 + 验证 。
验证域名所有权
这里只有先备案才能够再验证,而验证只需要将一份 html 文档放置在 web 网站根目录下。
部署证书到 CDN
从服务器提取出刚刚申请的证书,将其部署到 CDN 中,如此在访问时才不会报证书配置错误。
