自動獲取/更新HTTPS證書並實現Nginx代理WSS協議

自動獲取/更新HTTPS證書以及實現Nginx代理WSS協議

如果說我比別人看得更遠些，那是因爲我站在了巨人的肩上-----牛頓
有了輪子就會事半功倍，此篇文章就是站在巨人的肩膀上做一個簡單的總結。

一個快速獲取/更新 Let's encrypt 證書的 shell script

GitHub 完整說明文檔
想折騰!!!自己動手生成證書可以參考這個篇博客

以下爲文檔詳細內容以及我測試環境的配置，貼過來是爲了方便離線閱讀

---

腳本中是調用 acme_tiny.py 認證、獲取、更新證書，不需要額外的依賴。

下載到本地

wget https://raw.githubusercontent.com/xdtianyu/scripts/master/lets-encrypt/letsencrypt.conf
wget https://raw.githubusercontent.com/xdtianyu/scripts/master/lets-encrypt/letsencrypt.sh
chmod +x letsencrypt.sh

配置文件

只需要修改 DOMAIN_KEY DOMAIN_DIR DOMAINS 爲你自己的信息

ACCOUNT_KEY="letsencrypt-account.key"
DOMAIN_KEY="example.com.key"
DOMAIN_DIR="/var/www/example.com"
DOMAINS="DNS:example.com,DNS:whatever.example.com"
#ECC=TRUE
#LIGHTTPD=TRUE

執行過程中會自動生成需要的 key 文件。其中 ACCOUNT_KEY 爲賬戶密鑰， DOMAIN_KEY 爲域名私鑰， DOMAIN_DIR 爲域名指向的目錄，DOMAINS 爲要籤的域名列表， 需要 ECC 證書時取消 #ECC=TRUE 的註釋，需要爲 lighttpd 生成 pem 文件時，取消 #LIGHTTPD=TRUE 的註釋。

運行

./letsencrypt.sh letsencrypt.conf

注意

需要已經綁定域名到 /var/www/example.com 目錄，即通過 http://example.com http://whatever.example.com 可以訪問到 /var/www/example.com 目錄，用於域名的驗證

將會生成如下幾個文件

lets-encrypt-x1-cross-signed.pem
example.chained.crt          # 即網上搜索教程裏常見的 fullchain.pem
example.com.key              # 即網上搜索教程裏常見的 privkey.pem 
example.crt
example.csr

在 nginx 裏添加 ssl 相關的配置

ssl_certificate     /path/to/cert/example.chained.crt;
ssl_certificate_key /path/to/cert/example.com.key;

cron 定時任務

每個月自動更新一次證書，可以在腳本最後加入 service nginx reload等重新加載服務。

0 0 1 * * /etc/nginx/certs/letsencrypt.sh /etc/nginx/certs/letsencrypt.conf >> /var/log/lets-encrypt.log 2>&1

生成證書後的目錄結構

[root@izwz9fkgp9zwe2ol6e6darz letsencrypt]# ll
總用量 36
-rw-r--r-- 1 root root 5462 5月  15 18:16 子域名前綴.chained.crt
-rw-r--r-- 1 root root 3815 5月  15 18:16 子域名前綴.crt
-rw-r--r-- 1 root root  932 5月  15 18:16 子域名前綴.csr
-rw-r--r-- 1 root root 1675 5月  15 18:16 域名.key
-rw-r--r-- 1 root root 3243 5月  15 18:16 letsencrypt-account.key
-rw-r--r-- 1 root root  226 5月  15 18:15 letsencrypt.conf
-rwxr-xr-x 1 root root 2170 5月   5 12:12 letsencrypt.sh
-rw-r--r-- 1 root root 1647 1月  20 09:16 lets-encrypt-x3-cross-signed.pem

比如域名爲：javen.qq.com 那麼子域名前綴爲 javen

示例配置

腳本配置文件

letsencrypt.conf 將其中的域名修改爲自己的域名

# only modify the values, key files will be generated automaticly.
ACCOUNT_KEY="letsencrypt-account.key"
DOMAIN_KEY="域名.key"
DOMAIN_DIR="/home/www"
DOMAINS="DNS:域名"
#ECC=TRUE
#LIGHTTPD=TRUE

Nginx配置

nginx.conf配置文件在 /usr/local/nginx/conf/
主要配置日誌格式以及引用外部的配置文件。避免所有配置都配置到一個配置文件導致臃腫。

#user  nobody;
worker_processes  1;

#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /home/logs/nginx/logs/access.log  main;

    sendfile        on;
    #tcp_nopush     on;
    server_tokens off;
    #keepalive_timeout  0;
    keepalive_timeout  65;
    
    gzip  on;
    client_max_body_size 5m;

    include conf.d/*.conf;    

    # another virtual host using mix of IP-, name-, and port-based configuration
    #
    #server {
    #    listen       8000;
    #    listen       somename:8080;
    #    server_name  somename  alias  another.alias;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}


    # HTTPS server
    #
    #server {
    #    listen       443 ssl;
    #    server_name  localhost;

    #    ssl_certificate      cert.pem;
    #    ssl_certificate_key  cert.key;

    #    ssl_session_cache    shared:SSL:1m;
    #    ssl_session_timeout  5m;

    #    ssl_ciphers  HIGH:!aNULL:!MD5;
    #    ssl_prefer_server_ciphers  on;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}

}

https.conf 配置文件可以放在/usr/local/nginx/conf/conf.d/
生成證書之前只需要配置80端映射到letsencrypt.conf中DOMAIN_DIR指定的目錄，生成證書後就可以配置https測試。

upstream websocket {
    server localhost:5000;
}
server {
    listen       80;
    server_name  你的域名;
    access_log  /home/logs/nginx/logs/http.access.log  main;
    location / {
        root /home/www/;
        index index.html index.htm;
    }
}

server {
    listen      80;
    server_name wx.javen.cc;
    rewrite ^(.*)$ https://$server_name$1 permanent;
}

server {
    listen 443;
    server_name 你的域名;
    ssl on;
    ssl_certificate /home/letsencrypt/子域名前綴.chained.crt;
    ssl_certificate_key /home/letsencrypt/域名.key;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    ssl_prefer_server_ciphers on;

    location / {
        root /home/www/;
        index  index.html index.htm;
    }
    #wss協議轉發 小程序裏面要訪問的鏈接
    location /wss {
        proxy_pass http://websocket;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "Upgrade";
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
    }
}

如果有疑問歡迎留言一起討論。