使用免費SSL證書讓網站支援HTTPS訪問

我們使用的伺服器是在公司內部，用聯通送的ip，通過路由器隱射使得外網可以訪問，我們在這個伺服器搭建了很多工具，比如Gitlab，聊天工具，網盤等，訪問都很麻煩，沒有備案，都必須帶上埠號訪問對應的服務，據說80埠被封了，假設有了https就可以預設443埠，就不用帶埠號了，通過https訪問預設瀏覽器會給你帶上443埠，下面是我使用 Let's Encrypt 提供的SSL證書，記錄配置SSL的安裝實踐過程。

教程歸檔在我的Github中歡迎修正和Star

安裝 EPEL 倉庫

首先要安裝 Let's Encrypt 證書用的工具，這個可以在CentOS 的 EPEL 倉庫裡找到它，在找到它之前，先檢查是否存在 EPEL 源:

# 進入目錄檢查是否存在 EPEL 源，一般情況檔名稱 epel.repo
cd /etc/yum.repos.d/
複製程式碼

如果不存在可以直接安裝

sudo yum install epel-release -y
複製程式碼

安裝簽發證書工具

sudo yum install certbot-nginx -y
複製程式碼

申請證書

報nginx命令不存在錯誤

sudo certbot --nginx
# Saving debug log to /var/log/letsencrypt/letsencrypt.log
# The nginx plugin is not working; there may be problems with your existing configuration.
# The error was: NoInstallationError()
# 如果你報上面錯誤執行下面，命令解決問題
which nginx # 檢視目錄
#輸出 /usr/local/nginx/sbin/nginx
yum info nginx
複製程式碼

解決方法

ln -s /usr/local/nginx/sbin/nginx /usr/bin/nginx
ln -s /usr/local/nginx/conf/ /etc/nginx
複製程式碼

報nginx配置檔案目錄不對錯誤

sudo certbot --nginx
# Saving debug log to /var/log/letsencrypt/letsencrypt.log
# Error while running nginx -c /etc/nginx/nginx.conf -t.

# nginx: [emerg] open() "/etc/nginx/nginx.conf" failed (2: No such file or directory)
# nginx: configuration file /etc/nginx/nginx.conf test failed

# The nginx plugin is not working; there may be problems with your existing configuration.
# The error was: MisconfigurationError('Error while running nginx -c /etc/nginx/nginx.conf -t.\n\nnginx: [emerg] open() "/etc/nginx/nginx.conf" failed (2: No such file or directory)\nnginx: configuration file /etc/nginx/nginx.conf test failed\n',)
複製程式碼

解決方法，這個解決方法就是讓certbot認為你的，你的配置存在，並且將SSL配置寫入你的nginx配置檔案中，然後拷貝配置到你的預設 nginx 配置中。哈哈為了方便 nginx 啟動不用指定配置，也沒有看到 certbot 工具提供指定目錄的命令，暫時我就這麼解決吧。

# nginx 預設配置檔案目錄不 /etc/nginx/ 目錄下，
# 需要拷貝/usr/local/nginx/conf目錄下的全部檔案
# 複製到/etc/nginx/目錄下
cp -r /usr/local/nginx/conf/* /etc/nginx/

# 編輯開機啟動將所有目錄換成/etc/nginx/
vim /lib/systemd/system/nginx.service
cp /lib/systemd/system/nginx.service{,.bak}

# 測試配置是否正確
nginx -t -c /etc/nginx/nginx.conf
複製程式碼

正確之後將nginx中的 SSL 配置複製到你的原來正在執行的配置中，在預設安裝目錄配置/usr/local/nginx/conf/。會在配置中生成如下內容，主要是複製這個。

{
  ssl_certificate /etc/letsencrypt/live/chat.wangchujiang.com/fullchain.pem; # managed by Certbot
  ssl_certificate_key /etc/letsencrypt/live/chat.wangchujiang.com/privkey.pem; # managed by Certbot
}
複製程式碼

正式申請申請證書

首先執行證書生成命令，選擇你要配置SSL證書的網站，這個是基於你網站已經在nginx中配置好了的情況。

sudo certbot --nginx certonly
# Saving debug log to /var/log/letsencrypt/letsencrypt.log
# Plugins selected: Authenticator nginx, Installer nginx
# Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
# 
# Which names would you like to activate HTTPS for?
# -------------------------------------------------------------------------------
# 1: chat.wangchujiang.com
# 2: g.wangchujiang.com
# 3: pan.wangchujiang.com
# -------------------------------------------------------------------------------
# Select the appropriate numbers separated by commas and/or spaces, or leave input
# blank to select all options shown (Enter 'c' to cancel): 2
複製程式碼

上面選擇了g.wangchujiang.com生成證書，下面是驗證過程，新增 certonly參數列示只生成證書。

# Obtaining a new certificate
# Performing the following challenges:
# tls-sni-01 challenge for g.wangchujiang.com
# Waiting for verification...
# Cleaning up challenges
# 
# IMPORTANT NOTES:
#  - Congratulations! Your certificate and chain have been saved at:
#    /etc/letsencrypt/live/g.wangchujiang.com/fullchain.pem
#    Your key file has been saved at:
#    /etc/letsencrypt/live/g.wangchujiang.com/privkey.pem
#    Your cert will expire on 2018-03-13. To obtain a new or tweaked
#    version of this certificate in the future, simply run certbot
#    again. To non-interactively renew *all* of your certificates, run
#    "certbot renew"
#  - If you like Certbot, please consider supporting our work by:
# 
#    Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
#    Donating to EFF:                    https://eff.org/donate-le
複製程式碼

上面生成成功了，可以新增到 nginx 配置中，這下完事兒了，下面是一端nginx的配置例項。

配置nginx

# http 重定向到 https
server {
    listen       80;
    server_name  g.wangchujiang.com;
    rewrite ^ https://$http_host$request_uri? permanent;
    # Enables or disables emitting nginx version on error pages and in the "Server" response header field.
    server_tokens off;
}
# https 的配置
server {
  listen       443 ssl;
  server_name  g.wangchujiang.com;

  ssl_certificate /etc/letsencrypt/live/g.wangchujiang.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/g.wangchujiang.com/privkey.pem;
  # 禁止在header中出現伺服器版本，防止黑客利用版本漏洞攻擊
  server_tokens off;
  # 設定ssl/tls會話快取的型別和大小。如果設定了這個引數一般是shared，buildin可能會引數記憶體碎片，預設是none，和off差不多，停用快取。如shared:SSL:10m表示我所有的nginx工作程式共享ssl會話快取，官網介紹說1M可以存放約4000個sessions。 
  ssl_session_cache    shared:SSL:1m; 

  # 客戶端可以重用會話快取中ssl引數的過期時間，內網系統預設5分鐘太短了，可以設成30m即30分鐘甚至4h。
  ssl_session_timeout  5m; 

  # 選擇加密套件，不同的瀏覽器所支援的套件（和順序）可能會不同。
  # 這裡指定的是OpenSSL庫能夠識別的寫法，你可以通過 openssl -v cipher 'RC4:HIGH:!aNULL:!MD5'（後面是你所指定的套件加密演算法） 來看所支援演算法。
  ssl_ciphers  HIGH:!aNULL:!MD5;

  # 設定協商加密演算法時，優先使用我們服務端的加密套件，而不是客戶端瀏覽器的加密套件。
  ssl_prefer_server_ciphers  on;

  location / {
    root   html;
    index  index.html index.htm;
  }
}
複製程式碼