在Ubuntu 19.04上的Nginx中通过Let’s Encrypt安装通配符证书

0
265
views

在2018年3月,我们加密添加了对通配符证书的支持。通配符证书使您可以使用单个证书来保护域的所有第一级子域。通配符证书只能通过ACMEv2获得,它是ACME协议的更新版本。要将ACMEv2用于通配符或非通配符证书,您需要一个已更新以支持ACMEv2的客户端。一个这样的客户端是acme.sh,它是一个ACME / ACMEv2协议客户端,完全用Shell(Unix外壳)语言编写,没有任何依赖关系。此外,必须使用DNS-01质询类型来验证通配符域。这意味着您需要修改DNS TXT记录以证明对域的控制权以获得通配符证书。

在本指南中,我们将说明如何使用acme.sh客户端,Lexicon工具通过使用Vultr API自动处理DNS记录的Lexicon工具,从Ubuntu 19.04上的Let’s Encrypt获取和部署免费通配符证书,以及如何将证书部署到Nginx Web服务器。

要求

  • 新部署的Ubuntu 19.04 Vultr云服务器。
  • 您有一个注册域名。本指南以example.com域为例。
  • 确保已为完全限定域名(FQDN)设置了A / AAAA和CNAME DNS记录。如果您需要熟悉DNS概念,则不妨参考Vultr DNS入门指南。
  • 在Vultr帐户控制面板中启用了Vultr API访问。

在你开始之前

检查Ubuntu版本。

lsb_release -ds
# Ubuntu 19.04

创建一个具有sudo访问权限和首选用户名的新用户帐户,然后切换到该帐户。我们使用johndoe

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

注意用您的用户名替换johndoe

设置时区。

sudo dpkg-reconfigure tzdata

确保您的Ubuntu系统是最新的。

sudo apt update && sudo apt upgrade -y

安装必要的软件包。

sudo apt install -y git wget curl socat

安装Nginx

安装Nginx Web服务器。

sudo apt install -y nginx

检查版本。

sudo nginx -v
# nginx version: nginx/1.15.9 (Ubuntu)

安装Python和Lexicon

在使用acme.sh和Vultr API从Let’s Encrypt获取通配符证书的过程中,第一步是需要安装Python和Lexicon。Lexicon是一个Python软件包,它提供了一种以标准化方式处理多个DNS提供程序上的DNS记录的方法。

如果尚未在系统上安装Python,请安装。

sudo apt install -y python3

通过验证版本来确认安装。

python3 --version
# Python 3.7.3

安装Lexicon工具。词典是一个Python工具,可让您以标准化方式在各种DNS提供程序上处理DNS记录。

sudo apt install -y lexicon

检查词典版本。

lexicon --version
# lexicon 3.0.8

安装acme.sh客户端

Acme.sh是纯粹用Shell(Unix Shell)语言编写的ACME协议客户端,可自动通过Let’s Encrypt获得签名证书的过程。它支持ACME v1和ACME v2,最重要的是,它支持ACME v2通配符证书。在本节中,我们将安装Acme.sh脚本。

注意: 建议使用root用户来安装acme.sh,尽管它不需要rootsudo访问。

root如果已创建,请从常规用户切换到用户。

sudo su - root

下载并安装acme.sh

git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh
./acme.sh --install --accountemail "your_email@example.com"
source ~/.bashrc
cd

检查版本。

acme.sh --version
# v2.8.2

从“ Let’s Encrypt ”获取通配符证书

要获得通配符证书,我们只能使用DNS验证方法。我们使用Lexicon和Vultr DNS API来操纵TXT DNS记录。

获取您的域的RSA和ECC通配符证书。

# Configure your API key and username
export PROVIDER=vultr
export LEXICON_VULTR_USERNAME="your_vultr_email@example.com"
export LEXICON_VULTR_TOKEN="XXXXXXXXXXXXXXX"

# RSA 2048
acme.sh --issue --dns dns_lexicon -d example.com -d '*.example.com' --keylength 2048
# ECC 256
acme.sh --issue --dns dns_lexicon -d example.com -d '*.example.com' --keylength ec-256

注意不要忘记example.com用您的域名替换,并用您自己的Vultr API占位符值替换。

运行上述命令后,您的证书和密钥位于:

  • 对于RSA:~/.acme.sh/example.com目录。
  • 对于ECC / ECDSA:~/.acme.sh/example.com_ecc目录。

注意请勿使用文件~/.acme.sh/夹中的证书文件,这些文件仅供内部使用,将来目录结构可能会更改。

要列出您的证书,可以运行:

acme.sh --list

创建一个文件夹以在生产中存储您的证书。我们使用/etc/letsencrypt目录。

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

在服务器上安装/复制用于生产的证书。

# RSA
acme.sh --install-cert -d example.com \
        --cert-file /etc/letsencrypt/example.com/cert.pem \
        --key-file /etc/letsencrypt/example.com/private.key \
        --fullchain-file /etc/letsencrypt/example.com/fullchain.pem \
        --reloadcmd "sudo systemctl reload nginx.service"

# ECC/ECDSA
acme.sh --install-cert -d example.com --ecc \
        --cert-file /etc/letsencrypt/example.com_ecc/cert.pem \
        --key-file /etc/letsencrypt/example.com_ecc/private.key \
        --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem \
        --reloadcmd "sudo systemctl reload nginx.service"

现在我们已经从Let’s Encrypt成功获取了通配符证书,我们需要配置Nginx Web服务器。所有证书每60天自动更新一次。

获取证书并将其安装到您的首选位置后,您可以从root用户注销为普通sudo用户,并sudo根据需要使用继续管理服务器。

exit

配置Nginx Web服务器

运行sudo vim /etc/nginx/sites-available/example.com.conf并使用以下内容填充文件。example.com用您自己的域名替换所有出现的域名。

server {

  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com *.example.com;
  root /var/www/example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com/private.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/private.key;

}

example.com.conf通过将文件链接到sites-enabled目录来激活新配置。

sudo ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/

测试Nginx配置。

sudo nginx -t

重新加载Nginx。

sudo systemctl reload nginx.service

而已。我们使用acme.sh,Lexicon和Vultr API将通配符证书部署到Nginx。当您要保护动态生成的多个第一级子域时,通配符证书会很有用。

评论

请输入您的评论!
请在此处输入您的姓名