CentOS7 通过certbot脚本安装使用 Let’ s Encrypt 免费SSL证书(双向)

之前的我写过一篇通过码头工人直接拿取的安装方法 第一次我按照那个方法做ok 时间长了 我再次安装的时候出问题了 好像是之前的镜像不在了一样,于是我果断放弃了换了一个方法通过certbot。但是我们要先认识下Let’ s Encrypt

Let's Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起,主要的目的也是为了推进网站从HTTP向HTTPS过度的进程,目前已经有越来越多的商家加入和赞助支持。

Let's Encrypt免费SSL证书的出现,也会对传统提供付费SSL证书服务的商家有不小的打击。到目前为止,Let's Encrypt获得IdenTrust交叉签名,这就是说可以应用且支持包括FireFox、Chrome在内的主流浏览器的兼容和支持,虽然目前是公测阶段,但是也有不少的用户在自有网站项目中正式使用起来。

不知道他以后要不要收费但是现在都是免费的 所以还是用这个吧 我先给大家把流程贴出来 中间有坑你准备好踩吧 坑各种各样但是都是可以解决的:开始、

第一点你要有一个可以访问的域名 而且能访问到你的服务器

这一点就不会多讲了 基本上都会呀 所以自己去找找资料吧 国内多·····

第二点:安装certbot

yum install -y epel-release
yum install -y certbot

第三点:使用certbot申请证书

使用方法:certbot certonly --webroot -w [Web站点目录] -d [站点域名] -m [联系人email地址] --agree-tosde

eg:certbot certonly --webroot -w /opt/www/www.123.com -d www.123.com -m zhuxun_why@163.com --agree-tosde

邮箱最好是真的 因为证书过期人家好通知你

到这一步可能会出问题了 先讲成功是什么样的:

IMPORTANT NOTES:

  • Congratulations! Your certificate and chain have been saved at
    /etc/letsencrypt/live/[xxx.xxx.xxx]/fullchain.pem. Your cert will
    expire on 2017-03-20. To obtain a new or tweaked version of this
    certificate in the future, simply run certbot again. To
    non-interactively renew all of your certificates, run "certbot
    renew"
  • If you like Certbot, please consider supporting our work by:
    Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
    Donating to EFF: https://eff.org/donate-lede>

证书的保存位置在:

/etc/letsencrypt/live/www.123.com/

用户证书 cert.pem -> ../../archive/www.123.com/cert1.pem
中间证书 chain.pem -> ../../archive/www.123.com/chain1.pem
证书链, chain.pem + cert.pem fullchain.pem -> ../../archive/www.123.com/fullchain1.pem
证书私钥 privkey.pem -> ../../archive/www.123.com/privkey1.pemde>

接下来我在这一步遇到错误是什么样的:

ImportError: 'pyOpenSSL' module missing required functionality. Try upgrading to v0.14 or newer.

说实话这个错一眼或许大家就看出来了 pyOpenSSL 版本需要更新 这个其实很简单的错 在国内找到了很多解决原因 但是最后都是扯淡的 我就不讲其中都干了些啥直接解决方法

第一步:更新pip install --upgrade pip

我这里也报错了

于是我就去改了ertbot-auto脚本里用的pip版本

https://pypi.python.org/packages/11/b6/abcb525026a4be042b486df43905d6893fb04f05aac21c32c638e939e447/pip-9.0.1.tar.gz

md5=35f01da33009719497f01a4ba69d63c9

我直接把他换成了pip-9的!然后才ok的

第二步:更新pip install pyOpenSSL==0.14

看清楚了不是 pip install --upgrade pyOpenSSL==0.14 你也不要相信其他的一些方法 让你删除了再来装上 根本不能

解决问题 因为certbot源由于某些限制根本不能更新到最新的下载后pyOpenSSL模板还是0.13的 真的很坑 这个问题 我在

国内找到了很多答案 但都不行。哎 说到底还是自己技术不行啊

第四点 ****配置nginx使用证书开通https站点

生成Perfect Forward Security(PFS)键值

mkdir /etc/ssl/private/ -p
cd /etc/ssl/private/
openssl dhparam 2048 -out dhparam.pemde>

Perfect Forward Security(PFS)是个什么东西?百度去吧

配置nginx站点,例如/etc/nginx/conf.d/www.123.com.confde>,样例内容如下:

server {
listen 80;
server_name www.123.com;
rewrite ^ https://$server_name$request_uri? permanent;
}
server {
listen 443 ssl;
server_name www.123.com;
charset utf-8;
root /data/wwwroot/www.123.com;
index index.html index.htm;
access_log /var/log/nginx/ www.123.com_access.log;#这两个个文件最好手动创建上 不然重启会报错哟
error_log /var/log/nginx/ www.123.com_error.log;#这两个个文件最好手动创建上 不然重启会报错哟

letsencrypt生成的文件

ssl_certificate /etc/letsencrypt/live/www.123.com/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/www.123.com/privkey.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets on;
ssl_dhparam /etc/ssl/private/dhparam.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

一般推荐使用的ssl_ciphers值: https://wiki.mozilla.org/Security/Server_Side_TLS

ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:AES:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK';
ssl_prefer_server_ciphers on;
}

第五点自动更新

可以使用crontab定时更新,例如:

每月1号5时执行执行一次更新,并重启nginx服务器

00 05 01 * * /usr/bin/certbot renew --quiet && /bin/systemctl restart nginx

最后编辑于
?著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,100评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,308评论 3 388
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事?!?“怎么了?”我有些...
    开封第一讲书人阅读 159,718评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,275评论 1 287
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,376评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,454评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,464评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,248评论 0 269
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,686评论 1 306
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,974评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,150评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,817评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,484评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,140评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,374评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,012评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,041评论 2 351

推荐阅读更多精彩内容