前面总结的获取证书方式里,使用的是先手动生成CSR文件和密钥对,然后再根据CSR文件生成自签名证书,最后进行CRL和OCSP校验。接下来就把自己在Ubuntu下用certbot申请和部署Let’s Encrypt证书的过程和步骤也总结一下。Let’s Encrypt只能申请DV证书(Domain Validated),也就是最常见的一种证书,还记得之前说到证书分类,DV,OV和EV证书的分类方式是根据验证证书的模式不同,从证书审核的严格程度来排的,审核严谨度DV证书<OV证书<EV证书。Let’s Encrypt CA只提供DV证书申请的原因,在于它自己创建的ACME协议,用来自动化管理证书的申请,更新和销毁,这和一些普通的传统的CA机构不同,一般的CA机构以上操作多多少少都要人工操作,尤其是撤销证书需要人工提交申请,人工审核,撤销过程很长。
ACME协议域名校验
ACME协议是Let’s Encrypt CA机构设计的用来自动化管理证书申请,更新和签发。在证书申请阶段,有的CA机构为了更快速,会在收到CSR文件后,生成服务器实体密钥对,但是,一般来说,服务器公钥由服务器提供就好,如果CA机构来生成服务器密钥对,那么CA机构也拥有了服务器私钥。ACME协议则不同,密钥对的生成在客户端代理上,来看看该协议下的申请和域名校验过程:
- 客户端代理首先创建一个代理账户,并生成一对密钥对,作为通信密钥对,这个通信密钥对作用是在与ACME之间通信的校验,客户端代理会把通信密钥对中的公钥发送给Let’s Encrypt CA机构。
- 接着客户端代理可与开始证书申请,首先要对域名进行校验,前面说到,Let’s Encrypt CA只签发DV证书,DV证书的域名校验方式有两种:一,DNS方式,配置域名的DNS TXT记录。二,HTTP well-known URL资源方式,在域名服务器的80端口上配置一个URL,该资源文件用来审核身份。
- 客户端代理对接下来与Let’s Encrypt CA通信的消息使用通信密钥对的私钥签名,发送给Let’s Encrypt CA。
- 最后,Let’s Encrypt CA收到客户端代理的请求,使用通信密钥对的公钥进行验证,完成域名校验,此时,客户端代理就可以进行证书的申请、更新,续期和销毁操作了。
要特别注意的是,上面的通信密钥对并不是服务器密钥对,通信密钥对用来保证ACME协议通信过程的安全,接下来客户端代理在进行证书申请过程中,才会生成服务器密钥对。客户端代理生成服务器密钥对和CSR文件,CSR文件使用服务器公钥进行签名,最后整个消息使用通信密钥对的私钥进行签名。
Nginx插件
Certbot客户端使用Nginx插件获取证书,也可以使用其他例如apache插件等,前提准备好一个自己的一个域名,以Nginx插件为例,在Ubuntu下用apt-get命令来安装:
sudo apt-get install nginx
然后添加包package repository:
sudo add-apt-repository ppa:certbot/certbot
安装nginx添加完包后,更新下apt源数据:
sudo apt-get update
最后一步,安装Certbot的nginx package:
sudo apt-get install python-certbot-nginx
到这一步,完成了Certbot客户端的安装,接下来要先配置nginx。
配置
在Ubuntu下用vi编辑器打开路径etc/nginx/sites-available/default文件,找到server{ …… }位置,然后添加自己的域名server_name:
sudo vi /etc/nginx/sites-available/default
:wq保存退出,然后用sudo nginx –t命令查看配置文件有没有错:
Certbot客户端
Certbor客户端安装完成,nginx插件配置好后,就可以用它来申请Let’s Encrypt证书,用certbot有两种方式申请证书,第一种用certonly子命令,该命令生成的证书文件保存在/etc/letsencrypt路径下,虽然certonly模式会让certbot启动nginx,但不会配置相应的HTTPS命令,也就是上面的nginx配置,需要我们收到去配置nginx插件的server_name。certonly仅仅是获取证书,不会去安装证书。
第二种模式是用certbot run子命令,该命令在获取证书后,会自动修改nginx插件(或是其他web服务器插件)的配置文件,然后重启web服务器。
签发SSL证书
Certbot客户端签发ssl证书的命令:
sudo certbot –nginx –d zzzjustin.com –d www.zzzjustin.com
把两个-d参数后面换成自己的服务器域名。
等待证书生成完毕后,你就可以从输出种看到,生成的证书在路径/etc/letsencrypt/live/zzzjustin.com(你自己的服务器域名)/fullchain.pem下,还有证书的失效日期expire on 2020-04-22。
对于Let’s Encrypt CA签发的证书来说,其证书链中的中间证书可能不止一个,两个中间证书都可以校验证书服务器的身份,前面在证书链部分也说过有交叉验证这一回事,即一个CA机构给另一个CA机构签发二级证书,由于很多操作系统没有将Let’s Encrypt的根证书纳入到自己的可信任列表中,所以会让其他CA机构如DST Root CA X3或者ECDSA机构签名的中间证书来签发服务器实体证书。Let’s Encrypt CA签发的证书支持CT机制,也就是证书透明度,SCT签名证书时间戳信息可以从证书的OCSP服务中得到,证书一旦签发,会自动发送签发日志给各个证书日志logs,开始审计Auditors和监视Monitors也会相应开始运作。