2017年1月1日起,蘋果強(qiáng)制所有 app 滿足 HTTPS付枫,即 iOS9 推出的 App Transport Security (ATS) 特性滞时。
新浪微博最近推消息要求合作方提供https的鏈接窥淆;所以支持HTTPS勢(shì)不可擋啊
letsencrypt是一個(gè)提供開源免費(fèi)自動(dòng)證書授權(quán)服務(wù)的網(wǎng)站卖宠;使用letsencrypt提供的證書在站點(diǎn)安裝完成后,在chrome下查看頒發(fā)的證書信息如下:
安裝letsencrypt的證書過程主要參考文章 Let's Encrypt忧饭,站點(diǎn)加密之旅使用acme-tiny腳本進(jìn)行部署扛伍;原文對(duì)在APACHE下的部署有描述不清的地方,后面詳細(xì)說明下词裤;
獲取證書前的準(zhǔn)備:
克隆腳本刺洒、創(chuàng)建Let's Encrypt私鑰鳖宾、創(chuàng)建CSR文件等主要過程命令
git clone https://github.com/diafygi/acme-tiny.git
cd acme-tiny
chmod +x acme_tiny.py
openssl genrsa 4096 > account.key
openssl genrsa 4096 > domain.key
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
// 將需要加密的域名加到下面的代碼中,目前一張證書最多可以加密 100 個(gè)域名:
// 注意: abc.com 和 www.abc.com 是兩個(gè)域名
// acme-tiny腳本會(huì)對(duì)列出的所有域名進(jìn)行驗(yàn)證逆航;所以按需配置
openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yoursite.com,DNS:www.yoursite.com")) > domain.csr
獲取簽名證書:
acme-tiny腳本會(huì)生成驗(yàn)證文件并寫入到你指定的目錄下鼎文,然后通過http來訪問 ".well-known/acme-challenge/" 這個(gè)URL來訪問驗(yàn)證文件,以證明你對(duì)該域名有訪問權(quán)限因俐,因此你需要保證服務(wù)器80端口能夠訪問.并且能夠通過認(rèn)證拇惋。
如果站點(diǎn)提供的是靜態(tài)服務(wù),則需要將文件生成到文檔根目錄下.well-known/acme-challenge/子目錄中抹剩,或者修改apache的rewrite規(guī)則來通過驗(yàn)證撑帖;
如果是動(dòng)態(tài)服務(wù)器,需要響應(yīng)".well-known/acme-challenge"并回寫文件內(nèi)容澳眷。
nginx可以配置alias:
server {
....
location /.well-known/acme-challenge/ {
alias /var/www/challenges/;
try_files $uri =404;
}
....
}
RAILS服務(wù)可以修改config文件和application_controller.rb響應(yīng):
# --routes.rb
# for Let's Encrypt auth
get ".well-known/acme-challenge/:file" => "application#acmeauth"
# --application_controller.rb
# for Let's Encrypt auth
def acmeauth
file = Pathname.new('/var/www/acme-tiny-challenges').join(params[:file])
render text: File.read(file) and return if File.exist?(file)
render text:""
end
獲取簽名證書(請(qǐng)修改命令里面的的acme-dir參數(shù)):
python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /var/www/challenges/ > ./signed.crt
cat signed.crt intermediate.pem > chained.pem
安裝證書(apache2);
nginx下安裝證書請(qǐng)?jiān)L問文章 Let's Encrypt胡嘿,站點(diǎn)加密之旅
server {
listen 443;
server_name yoursite.com www.yoursite.com;
ssl on;
ssl_certificate /path/to/chained.pem;
ssl_certificate_key /path/to/domain.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
ssl_session_cache shared:SSL:50m;
ssl_prefer_server_ciphers on;
#...你的其他配置
}
修改下面配置中的SSLCertificateFile和SSLCertificateKeyFile字段即可
<IfModule mod_ssl.c>
<VirtualHost _default_:443>
DocumentRoot /var/www/abc/public
<Directory /var/www/abc/public>
Options Indexes FollowSymLinks MultiViews
AllowOverride all
Order allow,deny
allow from all
</Directory>
...
SSLEngine on
SSLCertificateFile .../acme-tiny/chained.pem
SSLCertificateKeyFile .../acme-tiny/domain.key
...
</VirtualHost>
</IfModule>
修改http訪問(可選)
如果需要將所有http的訪問改成https訪問;則需修改 .htaccess 文件配置301重定向:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
此時(shí)重啟APACHE2服務(wù)钳踊,網(wǎng)站已經(jīng)可以支持HTTPS訪問衷敌;
檢測(cè)是否完全支持ATS
騰訊云提供了蘋果ATS檢測(cè); 部署完成后可以使用該服務(wù)檢測(cè)下;
檢查通過~
自動(dòng)更新
Let's Encrypt 證書有效期只有90天, 所以需要寫一個(gè)更新腳本renew_cert.sh,并定時(shí)執(zhí)行拓瞪。
#!/usr/bin/sh
python /path/to/acme_tiny.py --account-key /path/to/account.key --csr /path/to/domain.csr --acme-dir /var/www/challenges/ > /tmp/signed.crt || exit
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat /tmp/signed.crt intermediate.pem > /path/to/chained.pem
service apache2 reload
定時(shí)任務(wù)可以設(shè)置為每個(gè)月執(zhí)行一次:
0 0 1 * * /path/to/renew_cert.sh 2>> /var/log/acme_tiny.log
參考鏈接:
Let’s Encrypt
騰訊云蘋果ATS檢測(cè)
原文
