基于 Nginx 服务器的泛域名 SSL 证书申请与部署
一、准备工作:
1.个人域名一个【必须】
2.域名备案 【可选】
本实验主要涉及以下几点内容:
1.CentOS 7.X 下的 Nginx 服务器搭建。
2.Nginx 服务器开启 443 监听及 80 强制跳转 443。
3.SSL 泛域名申请及证书自动化部署和续期。
可选部分:
1.DNS 泛域名解析。
2.CDN 泛域名分发及 SSL 证书部署。
二、安装 Nginx 服务器
这里我们使用 yum 安装 Nginx 服务器。
yum install -y nginx启动 Nginx 服务器
安装后的 Nginx 没有启动,先启动 Nginx 服务器。
systemctl start nginx.service开启 443 监听
Nginx 启动后默认只监听 80 端口。
这里我们把 443 端口的监听也一并开启。
编辑 全局配置文件nginx.conf,参考代码如下:
# For more information on configuration, see:
# * Official English Documentation: http://nginx.org/en/docs/
# * Official Russian Documentation: http://nginx.org/ru/docs/user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;# Load dynamic modules. See /usr/share/nginx/README.dynamic.
include /usr/share/nginx/modules/*.conf;events {worker_connections 1024;
}http {log_format main '$remote_addr - $remote_user [$time_local] "$request" ''$status $body_bytes_sent "$http_referer" ''"$http_user_agent" "$http_x_forwarded_for"';access_log /var/log/nginx/access.log main;sendfile on;tcp_nopush on;tcp_nodelay on;keepalive_timeout 65;types_hash_max_size 2048;include /etc/nginx/mime.types;default_type application/octet-stream;# Load modular configuration files from the /etc/nginx/conf.d directory.# See http://nginx.org/en/docs/ngx_core_module.html#include# for more information.include /etc/nginx/conf.d/*.conf;server {listen 80 default_server;listen [::]:80 default_server;server_name 请输入你的域名;rewrite ^(.*)$ https://$host$1 permanent;root /usr/share/nginx/html;# Load configuration files for the default server block.include /etc/nginx/default.d/*.conf;location / {}error_page 404 /404.html;location = /40x.html {}error_page 500 502 503 504 /50x.html;location = /50x.html {}}# Settings for a TLS enabled server.server {listen 443 ssl http2 default_server;listen [::]:443 ssl http2 default_server;server_name 请输入你的域名;root /usr/share/nginx/html;ssl_certificate "/etc/pki/nginx/server.crt";ssl_certificate_key "/etc/pki/nginx/private/server.key";ssl_session_cache shared:SSL:1m;ssl_session_timeout 10m;ssl_ciphers HIGH:!aNULL:!MD5;ssl_prefer_server_ciphers on;# Load configuration files for the default server block.include /etc/nginx/default.d/*.conf;location / {}error_page 404 /404.html;location = /40x.html {}error_page 500 502 503 504 /50x.html;location = /50x.html {}}}三、SSL 泛域名证书
接下来我们将在 Let’s Encrypt 申请证书。
- 优点:免费申请到泛域名证书 。
- 缺点:证书有限期只有三个月 。
大名鼎鼎的 Github Page 使用的就是来自 Let’s Encrypt 的泛域名证书,这里我们将使用 acme.sh 脚本完成从证书申请到自动续期的一系列操作。
安装 acme.sh
- 安装脚本
curl https://get.acme.sh | sh- 设置别名
alias acme.sh=~/.acme.sh/acme.sh生成证书:DNS 验证方式
这里我们需要利用 DNS API 进行证书的生成。
如果你的域名是从腾讯云购得,其域名解析服务默认由 DNSPod 提供, 此时只需要 登录 DNSPod 获取 API 即可。
而如果你还没有一个 个人域名,可以在腾讯云处购买域名:腾讯云-域名注册
打开 用户中心 -> 安全设置 -> API Token
创建 API Token 并把 ID 和 Key 值记录下来。
接着在终端下导入 ID 和 key 值。
export DP_Id="你的 ID"export DP_Key="你的 Token"然后输入以下命令完成证书的生成:
acme.sh --issue --dns dns_dp -d domain.com -d *.domain.com(此处假设主域名为:domain.com ,请将命令中的域名替换为你的域名)
安装证书
在 Nginx 配置文件中,有关证书路径是这样写的:
ssl_certificate "/etc/pki/nginx/server.crt";
ssl_certificate_key "/etc/pki/nginx/private/server.key";我们对证书路径信息进行简单的修改:
server.crt替换为fullchain.cerserver.key替换为domain.key
打开 主配置文件,完成内容的替换:配置文件
最后 通过以下命令完成证书安装:
mkdir -p /etc/pki/nginx/privateacme.sh --installcert -d domain.com --key-file /etc/pki/nginx/private/domain.key --fullchain-file /etc/pki/nginx/fullchain.cer --reloadcmd "service nginx force-reload"(此处假设主域名为:domain.com ,请将命令中的域名替换为你的域名)
更新证书
不用担心,acme.sh 会自动完成证书的续期操作,无需后期投入更多的精力。
目前证书 在 60 天以后会自动更新 ,你无需任何操作。今后有可能会缩短这个时间,不过都是自动的,你不用关心。
自动更新 acme.sh
为 acme.sh 开启自动更新:
acme.sh --upgrade --auto-upgrade【可选】 CDN 泛域名分发
这里将以腾讯云的 CDN 示例。
前置条件:域名完成 备案 + 验证 。
验证域名所有权
这里只有先备案才能够再验证,而验证只需要将一份 html 文档放置在 web 网站根目录下。
部署证书到 CDN
从服务器提取出刚刚申请的证书,将其部署到 CDN 中,如此在访问时才不会报证书配置错误。
