网站 https化
已是大势所趋,我的个人blog也是老早之前就想搞的,总是没时间。 今天休假,在家折腾了一下, baidufe.com
的图标终于变成 绿色的小锁
了,美美哒!
Jerry Qu大神研究的很深,我把自己的操作步骤整合了一下,做成一个小工具,也许对大家有用! https://github.com/zxlie/website-ssl.sh
# 下载工具curl -so xx.sh https://raw.githubusercontent.com/zxlie/website-ssl.sh/master/website-ssl.shchmod 0755 website-ssl.sh
没错,就这么下载了就能用了!当然,github源文件的下载,你也可以用你熟悉的任何方式!
注意:此工具会使用到 openssl
命令,请务必保证你的机器上已安装此工具!
用任意编辑工具打开 website-ssl.sh
文件,针对头部的如下几个配置项进行 按需配置
:
# ************************ 配置区域 START ******************************# 你的ssl主目录位置ssl_dir="/home/work/www/ssl"# nginx中配置的,给 Let's Encrypt 验证用的challenges_dir="/home/work/www/challenges/"# 按照你的需求进行配置,多个域名用空格分开websites="your-website.com www.your-website.com"# ************************ 配置区域 END ********************************
本工具是用 Let's Encrypt
来实现的 https
,所以证书的申请需要一个域名验证的过程; 也就是需要对目标站点的Nginx增加一个 location
,形如:
# CA认证location ^~ /.well-known/acme-challenge/ { # 注:这里的$challenges_dir请替换成你自己的真实目录,如:/home/work/www/challenges/ alias $challenges_dir; try_files $uri =404;}
# 直接执行脚本,获取帮助信息sh website-ssl.sh
结果:
网站ssl自动化工具(v1.0)使用方法: usage: sh website-ssl.sh -v | csr | pem | nginx | renew | crontab | upgrade -v 查看工具的版本号 csr 根据域名配置生成csr证书文件(For pem) pem 生成 Let's Encrypt 认可的pem证书文件 nginx 获取nginx配置文件Demo renew 更新pem证书文件 crontab 自动更新pem证书文件的crontab任务 upgrade 升级「website-ssl.sh」工具到最新版
pem
文件 sh website-ssl.sh pem
注:这一步会自动为我们创建 domain.key
文件和 ssl-encrypt.pem
文件
nginx
配置的Demo sh website-ssl.sh nginx
注:如果自己知道怎么配置nginx,这一步都可以忽略
nginx conf
文件 核心就是配置一下这个:
server { listen 443 ssl; server_name your-website.com; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES ssl_prefer_server_ciphers on; ssl_certificate /home/work/www/ssl/ssl-encrypt.pem; ssl_certificate_key /home/work/www/ssl/domain.key; ssl_session_timeout 5m; ...}
nginx
配置文件, https
完美启用 service nginx reload
csr
文件强制更新 此种情况,只针对「需要走https的域名有增减」的情况,我们可以手动执行命令来更新 csr
文件:
sh website-ssl.sh csr
只更新 csr
文件是没用的,还需要再次更新 pem
文件:
sh website-ssl.sh pem
由 Let's Encrypt
机构颁发的证书,默认只有90天的有效期,所以我们需要有一个证书更新的机制:
sh website-ssl.sh renew
此命令会重新生成签名证书,并重启nginx,使得站点的 https
寿命延续
当然,我们完全可以不用手动来做这件事情,用 crontab
,省事又省心:
sh website-ssl.sh crontab
把输入的内容,添加到root账号下的crontab列表中,即可:
# Let’s Encrypt 签发的证书只有90天有效期,可以设置为每月1号自动更新0 0 1 * * sh /home/work/www/ssl/website-ssl.sh renew >/dev/null 2>&1
到此,你可以开开心心的用了!
但凡是个工具,都可能会有bug、或者新功能迭代,等等,所以,咱们可以通过如下方式,将工具升级到最新版本:
sh website-ssl.sh upgrade
当然,要查看工具的版本号,也是有命令的:
sh website-ssl.sh -v#或者sh website-ssl.sh version
Site: https://www.baidufe.com
Mail: xianliezhao@foxmail.com
联系客服