利用letsencrypt.sh脚本来获取Let'sEncrypt的SSL证书

Let's Encrypt是个好项目,但是问题是它的客户端太臃肿了,而且到目前为止还只支持Apache,相比之下github上letsencrypt.sh只用sh脚本就实习了足够的功能了。还能适配nginx。但是,它也有它的问题——文档太少且支离破碎,根本没有成体系的手册,只能自己看代码摸索。我也是花了老半天的时间才搞定它。

首先先clone下这个项目
git clone git@github.com:lukas2511/letsencrypt.sh.git

默认有两种办法在ACME服务器上获取授权注册,我用的是配合Nginx的HTTP模式
在nginx的对应的domain server字段下添加以下设置

 location /.well-known/acme-challenge {
   alias /var/www/letsencrypt;
}

这个在http或者https下都没问题,哪怕你https的证书有问题也可以被识别,但是如果是第一次申请,还是老老实实地放http上省得麻烦

指向的地址是需要用的WELLKNOWN变量地址

在仓库下新建一个config.sh文件,内容如下:

#CA="https://acme-staging.api.letsencrypt.org/directory"
CA="https://acme-v01.api.letsencrypt.org/directory"
WELLKNOWN=/var/www/letsencrypt

第一行的CA地址是调试用的,基本上你搞这个一次是很难搞定的,用调试地址可以有效的避免被远端屏蔽
 WELLKNOWN就指向我们刚才nginx中设置的地址

继续新建一个domains.txt,格式类似

aaa.com www.aaa.com b.aaa.com
bbb.com ccc.bbb.com www.bbb.com rr.bbb.com

一行一个域名,每个子域名空一格

 接着运行

 ./letsencrypt.sh -c --config config.sh

你会看到类似这样的输出
+ Signing domains...
+ Generating private key...
+ Generating signing request...
+ Requesting challenge for xxx.com..

这个可能需要很长的时间,切忌不耐心的杀进程,我就是不耐心杀掉了进程,结果接下来就一直给我403了
{"type":"urn:acme:error:unauthorized","detail":"No registration exists matching provided key","status":403}

出现这样的问题也很好解决,删除根目录下的private_key.pem让它重新生成一个就好

生成好了之后的证书会存放在文件目录的certs目录下

进入以你域名命名的文件夹就可以看到对应的证书了

参考的nginx配置如下,放入对应的server字段中:

       ssl_certificate /home/siglud/letsencrypt.sh/certs/xxxxx/fullchain.pem;
       ssl_certificate_key /home/siglud/letsencrypt.sh/certs/xxxxx/privkey.pem;

       ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
       ssl_prefer_server_ciphers on;
       ssl_dhparam /etc/ssl/certs/dhparam.pem;
       ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-
AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-A
ES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AE
S256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DH
E-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-S
HA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-S
HA:!KRB5-DES-CBC3-SHA';
       ssl_session_timeout 1d;
       ssl_session_cache shared:SSL:50m;
       ssl_stapling on;
       ssl_stapling_verify on;
       add_header Strict-Transport-Security max-age=15768000;

其中的dhparam.pem是这样生成的:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

接下来就是让它每月运行一次来保障SSL证书持续有效了,简单的给它做个crontab就完事了

评论

发表评论

此博客中的热门博文

转一下关于Fuck的用法

不得不说,不会国骂人的人那一定不是土生土长中国人,相对的,不会用这英文四字真经的绝对也不是土生土长美国人. “Fuck” 是现代英语中最强烈,最有争议的粗语之一,这个词可能也是世界上最著名的亵渎语。但何时这个词从一个友好用法变成亵渎用法却仍然无法解释。一些证明显示,在一些英语为母语的地区,这个词直到17世纪才有一种攻击和亵渎的含义; 而另外一些证明却表明,早在16世纪的英国,这个词已经变成粗语。因此一些诸如牛津大英字典的权威资料仍然无法确定这个粗语的来源,但倾向于相信撒克逊人(英国人)起源说,然后再流传到英国殖民地,再到全世界。      在现代英语中,”Fuck”是一种高度冒犯性的用词,是最为严厉的4字母词。”Fuck” 原意就是性交(操,干),但它往往被用作一个咒骂语和语气加强词。一些”Fuck”原意的例子有:      ”Let‘ s fuck.” (让我们操吧)   ”That was a good fuck.” (那真是一次美妙的性交)   ”I can‘t believe she‘s fucking him!” (我不能相信她正在操他!)   ”I fucked my teacher!” (我干了我老师)      其他则是一些粗直语用法,但这些用法往往牵涉到性,譬如强奸(fuck you)或者自慰(fuck yourself).      ”Fuck you!” or “Go fuck yourself!” (我不喜欢你,快滚开)   ”He”s a dumb fuck.” (他是个白痴)   ”Sorry, I fucked up your computer.” (不好意思,我弄坏了你的电脑)   ”He‘ s pretty fucked up.” (他心理或者心情不稳定)   ”I fucked up on this test.” (我这次测验做的很糟)   ”Let‘s fuck around for a couple hours.” (让我们浪费2个小时好了)   ”I‘m fucked.” (结果)   ”What the fuck!” (到底刚才发生了什么?)   ”Shut the fuck up!” (闭嘴)   ”I‘m so fucked up right now.” (我已经烂醉或者被药物搞的晕晕乎乎了。)   其他一些粗直用法则...
阅读全文

远程记录OpenWRT日志

默认的OpenWRT日志放在/tmp/log下,这样有个问题就是每次重启就会丢失全部的日志,于是公司的路由器每次重启之后连为什么重启都不知道 于是就想办法把日志迁移出来,好在OpenWRT本身就附带了远程日志打印功能,于是直接在内网中开一个rsyslog服务器就可以了 在/etc/rsyslog.d/下新建一个router.conf 内容如下: module(load="imtcp") module(load="imudp") input(type="imudp"      port="514"      ruleset="routerSet") input(type="imtcp"      port="514"      ruleset="routerSet") # rsyslog RuleSets ruleset(name="routerSet") {     action(type="omfile"         File="/var/log/router.log") } (这个配置文件可以在 http://www.rsyslog.com/rsyslog-configuration-builder/ 生成) 接下来启动一下rsyslog服务就可以了 systemctl restart rsyslog 在OpenWRT端需要做的工作: vim /etc/config/system 在config system下增加这么几行         option log_remote '1'         option log_ip '192.168.0.13'  # 你的日志i服务器内网IP         option log_port '514'         option log_size '0'  # 如果不加这个可能会丢失部...
阅读全文

用OpenWRT打造自动翻墙路由器(详解篇)

最初先调整一下bash ,让它符合自己的工作习惯: 到vim /etc/profile,可以在里面设置自己想要的alias 比如我加了一行: alias ll='ls -al' 然后就装图形显示界面再说 首先update一下 opkg update 安装luci opkg install luci 设置luci自动启动 /etc/init.d/uhttpd enable 结果告诉我 /etc/rc.common: line 1: procd_add_reload_trigger: not found 坑爹,搜索了一下发现是因为我的固件版本与软件仓库的版本不符,导致软件与系统组件不搭配所致,后来发现是 新版的OpenWrt更新了而已,于是我升级了一下系统就好了 ,如果你无法升级系统,那么可以按照下述方式解决: 先把安装的那些个用不了的一个个卸载掉 opkg remove luci opkg remove uhttpd-mod-ubus opkg remove uhttpd 修改opkg的配置,修改到以前的仓库 vim /etc/opkg.conf 注释掉原有的仓库地址,改用旧的 #src/gz barrier_breaker http://downloads.openwrt.org/snapshots/trunk/ar71xx/packages src/gz barrier_breaker http://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages 然后在opkg update一下,继续 opkg install luci opkg install luci-i18n-chinese 这次在/etc/init.d/uhttpd start 的时候就不会报错了 然后稳妥的进入luci的Web界面,修改一下时区、界面语言之类的 接下来的工作是 修改防火墙的设置,让远端的HTTP和SSH能够通过 vim /etc/config/firewall config rule                ...
阅读全文