[网络协议]python flask实战订餐系统微信小程序-61申请免费https证书

B站配套视频教程观看

强行关闭nginx

yum install -y psmisc
fuser -n tcp 80
kill -9 端口号

创建目录存放所有的ssl文件

mkdir /home/www/ssl/
cd /home/www/ssl/

centos7安装openssl

yum install openssl
yum install openssl-devel

创建帐号

首先创建一个目录，例如 ssl，用来存放各种临时文件和最后的证书文件。进入这个目录，创建一个 RSA 私钥用于 Let’s Encrypt 识别你的身份：

openssl genrsa 4096 > account.key

创建 CSR 文件

接着就可以生成 CSR（Certificate Signing Request，证书签名请求）文件了。在这之前，还需要创建域名私钥（一定不要使用上面的账户私钥）RSA

1）创建 RSA 私钥（兼容性好）：

openssl genrsa 4096 > domain.key

有了私钥文件，就可以使用交互方式创建 CSR（需要注意 Common Name 必须为你的域名）：

openssl req -new -sha256 -key domain.key -out domain.csr

配置验证服务

我们知道，CA 在签发 DV（Domain Validation）证书时，需要验证域名所有权。Let’s Encrypt 是在你的服务器上生成一个随机验证文件，再通过创建 CSR 时指定的域名访问，如果可以访问则表明你对这个域名有控制权。

首先创建用于存放验证文件的目录，例如：

mkdir /home/www/challenges/

然后配置一个 HTTP 服务，以 Nginx 为例：

以上配置优先查找 ~/www/challenges/ 目录下的文件，如果找不到就重定向到 HTTPS 地址。这个验证服务以后更新证书还要用到，建议一直保留。

修改/etc/nginx/conf.d/order.conf

server {
    listen 80 default_server;
    listen 443 default_server;
    server_name food.xuhss.com;

    ssl on;
    ssl_certificate /home/www/ssl/chained.pem;
    ssl_certificate_key /home/www/ssl/domain.key;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
    ssl_session_cache shared:SSL:50m;

    location /.well-known/acme-challenge/ {
        alias /home/www/challenges/;
        try_files $uri =404;
    }

    location /static {
        alias  /home/www/order/web/static/;
    }

    location / {
        try_files $uri @yourapplication;
    }
    location @yourapplication {
      include uwsgi_params;
      uwsgi_pass unix:/home/www/logs/order.sock;
      uwsgi_read_timeout 1800;
      uwsgi_send_timeout 300;
    }
}

获取网站证书

先把 acme-tiny 脚本保存到之前的 ssl 目录：

wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py

指定账户私钥、CSR 以及验证目录，执行脚本：

python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /home/www/challenges/ > ./signed.crt

如果一切正常，当前目录下就会生成一个 signed.crt，这就是申请好的证书文件。

如果你遇到类似这样的错误：

ValueError: Wrote file to /home/xxx/www/challenges/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg, but couldn't download http://www.yoursite.com/.well-known/acme-challenge/oJbvpIhkwkBGBAQUklWJXyC8VbWAdQqlgpwUJkgC1Vg

去除掉order.conf中关于ssl的配置，比如改成这样：

server {
    listen 80 default_server;
    server_name food.xuhss.com;

    location /.well-known/acme-challenge/ {
        alias /home/www/challenges/;
        try_files $uri =404;
    }

    location /static {
        alias  /home/www/order/web/static/;
    }

    location / {
        try_files $uri @yourapplication;
    }
    location @yourapplication {
      include uwsgi_params;
      uwsgi_pass unix:/home/www/logs/order.sock;
      uwsgi_read_timeout 1800;
      uwsgi_send_timeout 300;
    }
}

搞定网站证书后，还要下载 Let’s Encrypt 的中间证书。我在之前的文章中讲过，配置 HTTPS 证书时既不要漏掉中间证书，也不要包含根证书。在 Nginx 配置中，需要把中间证书和网站证书合在一起：

wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem

为了后续能顺利启用 OCSP Stapling，我们再把根证书和中间证书合在一起：

wget -O - https://letsencrypt.org/certs/isrgrootx1.pem > root.pem
cat intermediate.pem root.pem > full_chained.pem

最终，修改Nginx中order.conf配置并 reload 服务即可：

    ssl on;
    ssl_certificate /home/www/ssl/chained.pem;
    ssl_certificate_key /home/www/ssl/domain.key;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
    ssl_session_cache shared:SSL:50m;

配置自动更新

Let’s Encrypt 签发的证书只有 90 天有效期，推荐使用脚本定期更新。例如我就创建了一个 renew_cert.sh 并通过 chmod a+x renew_cert.sh 赋予执行权限。文件内容如下：

touch renew_cert.sh
chmod a+x renew_cert.sh

#!/bin/bash

cd /home/www/ssl/
python acme_tiny.py --account-key account.key --csr domain.csr --acme-dir /home/www/challenges/ > signed.crt || exit
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
service nginx reload

crontab 中使用绝对路径比较保险，crontab -e 加入以下内容：

0 0 1 * * /home/www/ssl/renew_cert.sh >/dev/null 2>&1

这样以后证书每个月都会自动更新，一劳永逸。实际上，Let’s Encrypt 官方将证书有效期定为 90 天一方面是为了更安全，更重要的是鼓励用户采用自动化部署方案。