基于 Nginx 服务器的泛域名 SSL 证书申请与部署_nginx ssl证书申请
一、准备工作:
1.个人域名一个【必须】
2.域名备案 【可选】
本实验主要涉及以下几点内容:
1.CentOS 7.X 下的 Nginx 服务器搭建。
2.Nginx 服务器开启 443 监听及 80 强制跳转 443。
3.SSL 泛域名申请及证书自动化部署和续期。
可选部分:
1.DNS 泛域名解析。
2.CDN 泛域名分发及 SSL 证书部署。
二、安装 Nginx 服务器
这里我们使用 yum 安装 Nginx 服务器。
yum install -y nginx启动 Nginx 服务器
安装后的 Nginx 没有启动,先启动 Nginx 服务器。
systemctl start nginx.service开启 443 监听
Nginx 启动后默认只监听 80 端口。
这里我们把 443 端口的监听也一并开启。
编辑 全局配置文件nginx.conf,参考代码如下:
# For more information on configuration, see:# * Official English Documentation: http://nginx.org/en/docs/# * Official Russian Documentation: http://nginx.org/ru/docs/user nginx;worker_processes auto;error_log /var/log/nginx/error.log;pid /run/nginx.pid;# Load dynamic modules. See /usr/share/nginx/README.dynamic.include /usr/share/nginx/modules/*.conf;events { worker_connections 1024;}http { log_format main \'$remote_addr - $remote_user [$time_local] \"$request\" \'\'$status $body_bytes_sent \"$http_referer\" \'\'\"$http_user_agent\" \"$http_x_forwarded_for\"\'; access_log /var/log/nginx/access.log main; sendfile on; tcp_nopush on; tcp_nodelay on; keepalive_timeout 65; types_hash_max_size 2048; include /etc/nginx/mime.types; default_type application/octet-stream; # Load modular configuration files from the /etc/nginx/conf.d directory. # See http://nginx.org/en/docs/ngx_core_module.html#include # for more information. include /etc/nginx/conf.d/*.conf; server { listen 80 default_server; listen [::]:80 default_server; server_name 请输入你的域名; rewrite ^(.*)$ https://$host$1 permanent; root /usr/share/nginx/html; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }# Settings for a TLS enabled server. server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; server_name 请输入你的域名; root /usr/share/nginx/html; ssl_certificate \"/etc/pki/nginx/server.crt\"; ssl_certificate_key \"/etc/pki/nginx/private/server.key\"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 10m; ssl_ciphers HIGH:!aNULL:!MD5; ssl_prefer_server_ciphers on; # Load configuration files for the default server block. include /etc/nginx/default.d/*.conf; location / { } error_page 404 /404.html; location = /40x.html { } error_page 500 502 503 504 /50x.html; location = /50x.html { } }}三、SSL 泛域名证书
接下来我们将在 Let’s Encrypt 申请证书。
- 优点:免费申请到泛域名证书 。
- 缺点:证书有限期只有三个月 。
大名鼎鼎的 Github Page 使用的就是来自 Let’s Encrypt 的泛域名证书,这里我们将使用 acme.sh 脚本完成从证书申请到自动续期的一系列操作。
安装 acme.sh
- 安装脚本
curl https://get.acme.sh | sh- 设置别名
alias acme.sh=~/.acme.sh/acme.sh生成证书:DNS 验证方式
这里我们需要利用 DNS API 进行证书的生成。
如果你的域名是从腾讯云购得,其域名解析服务默认由 DNSPod 提供, 此时只需要 登录 DNSPod 获取 API 即可。
而如果你还没有一个 个人域名,可以在腾讯云处购买域名:腾讯云-域名注册
打开 用户中心 -> 安全设置 -> API Token
创建 API Token 并把 ID 和 Key 值记录下来。
接着在终端下导入 ID 和 key 值。
export DP_Id=\"你的 ID\"export DP_Key=\"你的 Token\"然后输入以下命令完成证书的生成:
acme.sh --issue --dns dns_dp -d domain.com -d *.domain.com(此处假设主域名为:domain.com ,请将命令中的域名替换为你的域名)
安装证书
在 Nginx 配置文件中,有关证书路径是这样写的:
ssl_certificate \"/etc/pki/nginx/server.crt\";ssl_certificate_key \"/etc/pki/nginx/private/server.key\";我们对证书路径信息进行简单的修改:
server.crt替换为fullchain.cerserver.key替换为domain.key
打开 主配置文件,完成内容的替换:配置文件
最后 通过以下命令完成证书安装:
mkdir -p /etc/pki/nginx/privateacme.sh --installcert -d domain.com --key-file /etc/pki/nginx/private/domain.key --fullchain-file /etc/pki/nginx/fullchain.cer --reloadcmd \"service nginx force-reload\"(此处假设主域名为:domain.com ,请将命令中的域名替换为你的域名)
更新证书
不用担心,acme.sh 会自动完成证书的续期操作,无需后期投入更多的精力。
目前证书 在 60 天以后会自动更新 ,你无需任何操作。今后有可能会缩短这个时间,不过都是自动的,你不用关心。
自动更新 acme.sh
为 acme.sh 开启自动更新:
acme.sh --upgrade --auto-upgrade【可选】 CDN 泛域名分发
这里将以腾讯云的 CDN 示例。
前置条件:域名完成 备案 + 验证 。
验证域名所有权
这里只有先备案才能够再验证,而验证只需要将一份 html 文档放置在 web 网站根目录下。
部署证书到 CDN
从服务器提取出刚刚申请的证书,将其部署到 CDN 中,如此在访问时才不会报证书配置错误。
