1. 介绍

Let’ s Encrypt已有免费的证书可用,以后的网站估计都要上https的吧,所以把我的网站上的证书换了一下,这节主要是参考使用 acme.sh 给 Nginx 安装 Let’ s Encrypt 提供的免费 SSL 证书这篇文章,并结合自己的情况,把我的经验记录下来。

2. 安装

我们使用acme.sh来申请和管理证书,它很简单用,还能够利用crontab自动更新证书,而且是默认就有的功能。

首先安装。

  1. $ wget -O -  https://get.acme.sh | sh

安装完之后,可以退出登录,再重新登录,或者执行一下source ~/.bashrc

之后就可以使用acme.sh命令了。

3. 申请证书

首先申请和下载证书。

  1. $ acme.sh --issue -d boat.rails365.net -w /home/hfpp2012/boat_manager/current/public

我要使用的域名是boat.rails365.net,我有一个项目是用rails写的,根目录为/home/hfpp2012/boat_manager/current/public,一定要保证这个目录是可写,可访问的,因为acme.sh会去检测它,其实就是为了验证,这个网站是不是你的。

这样申请成功之后,证书也会被保存下来,比如保存在下面这个位置:

  1. /home/hfpp2012/.acme.sh/boat.rails365.net

你可以进去看看的,接下来我们要把证书安装到你的应用中。

  1. $ acme.sh --installcert -d boat.rails365.net \
  2.                --keypath       /home/hfpp2012/boat_manager/ssl/boat.rails365.net.key  \
  3.                --fullchainpath /home/hfpp2012/boat_manager/ssl/boat.rails365.net.key.pem \
  4.                --reloadcmd     "sudo nginx -s reload"

值得注意的是:

  1. 会复制一些文件到--keypath--fullchainpath参数所指定的地方,所以要保证目录是通的,是可写的,一般放到网站根目录相关的地方,如果你的/home/hfpp2012/boat_manager目录,没有ssl这个目录,要先新建一个。

  2. 证书更新之后,会让nginx也更新的,因为这些证书是要由nginx使用的,所以要更新,那acme.sh会自动去触发那个更新的命令,所以你得告诉acme.sh如何去更新nginx的配置。所以这也是--reloadcmd发挥的作用,里面的值,得根据你的系统而定,只要能更新到nginx的配置就好了。

  3. 更新nginx配置时,有可以会使用sudo,所以最好你的用户是可以免密码使用sudo的。

接下来,还需要再生成一个文件,具体我也不知道有什么用,很多ssl的配置都需要它。

  1. $ openssl dhparam -out /home/hfpp2012/boat_manager/ssl/dhparam.pem 2048

4. nginx配置

最后,把上面所有生成的文件跟nginx结合起来,再把配置写到nginx的配置文件中。

比如,我是这样的:

  1. upstream boat_manager {
  2.     server unix:///home/hfpp2012/boat_manager/shared/tmp/sockets/puma.sock fail_timeout=0;
  3. }
  5. server {
  6.         listen 443 ssl;
  7.     server_name boat.rails365.net;
  8.         ssl_certificate         /home/hfpp2012/boat_manager/ssl/boat.rails365.net.key.pem;
  9.         ssl_certificate_key     /home/hfpp2012/boat_manager/ssl/boat.rails365.net.key;
  10.         # ssl_dhparam 
  11.         ssl_dhparam             /home/hfpp2012/boat_manager/ssl/dhparam.pem;
  12.     root /home/hfpp2012/boat_manager/current/public;
  13.     keepalive_timeout 70;
  15.     location ~ ^/assets/ {
  16.        gzip_static on;
  17.        expires max;
  18.        add_header Cache-Control public;
  19.     }
  21.         try_files $uri/index.html $uri @boat_manager;
  22.     location @boat_manager {
  23.           proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  24.           proxy_set_header Host $http_host;
  25.           proxy_redirect off;
  26.           proxy_pass http://boat_manager;
  28.           #proxy_http_version 1.1;
  29.           #proxy_set_header Upgrade $http_upgrade;
  30.           #proxy_set_header Connection "upgrade";
  31.     }
  32.     error_page   500 502 503 504  /50x.html;
  33.     location = /50x.html {
  34.         root   html;
  35.     }
  36. }
  38. server {
  39.     listen 80;
  40.     server_name boat.rails365.net;
  41.     return 301 https://boat.rails365.net$request_uri;
  42. }

顶层的http指令那里,也需要加上这两行:

  1. http {
  2.     ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  3.     ssl_prefer_server_ciphers on;
  4. }

最后,你把nginx重启一下,再试试效果。

完结。