今天服务器let'encript证书过期了,年纪大了老忘,不得不把别人的博客看一遍,就是因为我不想定时任务执行acme_tiny.py,还是写个文档记下,很久不写对外博客了,冒个泡。

1、创建普通域名私钥

openssl genrsa 4096 > domain.key

2、单个域名('xxx.xxx.com')

openssl req -new -sha256 -key domain.key -subj "/CN=域名" > domain.csr

3、域名验证

搭建一个web服务,以nginx为例,配置nginx.conf文件,并保证处于启动状态,并且外网80能访问

server {

    listen 80;

    server_name 域名;

    location ^~ /.well-known/acme-challenge/ {

        alias /tmp/ssl/;  //随便设置一个服务器上已经存在的目录

        try_files $uri =404;

    }

}

4、在目录/path/to获取网站证书

下载证书生成工具acme_tiny

wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py

openssl创建一个私钥account.key用于acme_tiny.py 账户account-key

openssl genrsa 4096 > account.key

指定账户私钥、CSR 、验证目录

python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /tmp/ssl/> ./signed.crt

创建中间证书并和网站证书融合

wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem

cat signed.crt intermediate.pem > chained.pem

注意中间证书跟网站证书版本一定要保证一致,不然即使,网站访问的时候虽然没有问题,但是一些严格必须遵循ssl第三方服务平台会认证不通过,比如:微信小程序

 

给nginx 443端口配置上我们生成的证书

server {

    listen 443;

    server_name 域名;

    ssl on;

    ssl_certificate /path/to/chained.pem;

    ssl_certificate_key /path/to/domain.key;

    ssl_session_timeout 5m;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;

    ssl_session_cache shared:SSL:50m;

    ssl_prefer_server_ciphers on;

}

 另外该证书有效期只有90天,可以把上面的命令行写成一个.sh命令用crontab跑起来

#!/usr/bin/sh
python /path/to/acme_tiny.py --account-key /path/to/account.key --csr /path/to/domain.csr --acme-dir /tmp/ssl/ > /tmp/signed.crt || exit
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat /tmp/signed.crt intermediate.pem > /path/to/chained.pem
service nginx reload
posted on 2017-08-17 22:05  Alvin_jstu  阅读(693)  评论(0编辑  收藏  举报