2. 程式人生 > 實用技巧 >使用ACME申請Lets Encrypt證書為網站新增HTTPS支援

使用ACME申請Lets Encrypt證書為網站新增HTTPS支援

阿新 發佈:2020-11-05

內容轉載自我的部落格

目錄

1. 搭建Web服務

首先安裝python的flask庫,可以使用以下程式碼:
pip install -i https://pypi.tuna.tsinghua.edu.cn/simple flask
然後編寫最簡單的flask專案,只需建立目錄/home/ubuntu/www/用於存放程式碼,建立目錄/home/ubuntu/www/log/用於存放日誌,再建立一個/home/ubuntu/www/main.py

檔案,內容如下:

# 匯入Flask類
from flask import Flask

# 例項化Flask
app = Flask(__name__)

# route()方法用於設定路由
@app.route('/')
def hello_world():
    return 'Hello, World!'

if __name__ == '__main__':
    # host為0.0.0.0表示所有IP均可訪問此Web服務
    app.run(host="0.0.0.0", port=5000, debug=False)

最後輸入命令python3 main.py即可執行此專案

2. 安裝nginx

更新軟體源:sudo apt-get update
安裝nginx:sudo apt-get install nginx
訪問雲主機的ip確認nginx安裝成功
修改nginx配置檔案:sudo vi /etc/nginx/nginx.conf
http{}合適位置新增以下程式碼
一定要將http{}裡面的最後兩個include行註釋掉,修改才會生效

    server{
        listen 80;
        server_name web.example.cn;
        access_log /home/ubuntu/www/log/access.log;
        error_log /home/ubuntu/www/log/error.log;
        location /{
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_redirect off;
            proxy_buffering off;
            proxy_pass http://127.0.0.1:5000;
        }
    }

不重啟重新載入最新配置檔案內容:sudo service nginx reload
停止nginx服務:sudo service nginx stop
重啟nginx服務:sudo service nginx restart
另外在域名服務商新增一條名稱為web的A記錄解析到本雲主機的IP即可訪問http://web.example.cn,會看到網頁返回Hello, World!

3 安裝ACME自動簽發證書

https證書是Let's Encrypt網站簽發的,每次有限期三個月,手動申請很麻煩,所以使用ACME工具來自動申請和續期

3.1 安裝證書

安裝很簡單,只需要一個命令:curl https://get.acme.sh | sh
此命令實際幫使用者進行以下操作:

  • acme.sh安裝到使用者的home目錄下,即~/.acme.sh/
  • 建立一個bash的alias, 方便使用:alias acme.sh=~/.acme.sh/acme.sh
  • 自動建立cronjob, 每天 0:00 點自動檢測所有的證書, 如果快過期了, 需要更新, 則會自動更新證書

如果~目錄下無.bashrc需要手動建立;如果使用者ssh重新登入,.bashrc檔案不會自動生效,需要進行下一步
終端輸入vim .bash_profile,然後寫入以下內容:

if [ -s ~/.bashrc ]; then
    source ~/.bashrc;
fi

安裝過程不會汙染已有的系統任何功能和檔案, 所有的修改都限制在安裝目錄中: ~/.acme.sh/

3.2 生成證書

首先登入DNSPod,它已被騰訊雲收購,可直接使用騰訊雲賬戶登入。在裡面建立API介面和祕鑰。然後在命令列輸入:

export DP_Id="152345"
export DP_Key="235b55ffd5a4588aabbccee1e2e5a74a"
acme.sh --issue  -d example.cn -d *.example.cn --dns dns_dp

等待驗證DNS和建立證書即可(介面和祕鑰資訊會被自動儲存在~/.acme.sh/account.conf配置檔案,方便自動續期)。這裡生成主域名example.cn的證書和泛域名*.example.cn證書

3.3 安裝證書

sudo mkdir /etc/nginx/ssl/
sudo chmod -R 777 ssl
acme.sh --install-cert -d example.cn \
--key-file /etc/nginx/ssl/example.cn.key \
--fullchain-file /etc/nginx/ssl/example.cn.cer \
--reloadcmd "service nginx force-reload"

在終端輸入sudo vim /etc/nginx/ssl/example.cn.ssl.conf來建立ssl配置的單檔案example.cn.ssl.conf,檔案內容為:

ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_certificate ssl/example.cn.cer;
ssl_certificate_key ssl/example.cn.key;

最後sudo vim /etc/nginx/nginx.confserver{}裡面新增一行:include ssl/example.cn.ssl.conf;,最終的程式碼如下:

    server{
        listen 80;
        server_name web.example.cn;
        access_log /home/ubuntu/www/log/access.log;
        error_log /home/ubuntu/www/log/error.log;
        include ssl/example.cn.ssl.conf;
        location /{
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_redirect off;
            proxy_buffering off;
            proxy_pass http://127.0.0.1:5000;
        }
    }

此時不重啟重新載入最新nginx配置檔案內容sudo service nginx reload,即可訪問https://web.example.cn,會看到網頁返回Hello, World!

4. 使用logrotate自動切割日誌檔案

如果某個web服務自己會產生日誌(步驟1中的Python程式,可以使用logging.handlers.RotatingFileHandler來分割日誌檔案),且沒有自帶的分割日誌檔案的功能,那麼我們可以藉助logrotate實現分割,這裡我們對nginx的日誌檔案進行分割
建立/etc/logrotate.d/nginx-myweb檔案,內容如下

/home/ubuntu/www/log/access.log /home/ubuntu/www/log/error.log{
    weekly
    minsize 10M
    rotate 10
    missingok
    dateext
    notifempty
    sharedscripts
    postrotate
        [ -e /usr/local/nginx/logs/nginx.pid ] && kill -USR1 `cat /usr/local/nginx/logs/nginx.pid`
    endscript
}

系統會定時執行logrotate,一般是每天一次,可以在此檔案/etc/cron.daily/logrotate檢視

5. 配置nginx切割日誌檔案

nginx的配置檔案中,新增以下內容,這種方法只能切割檔案,不能自動刪除過時檔案:

# 可以位於http、server塊
map $time_iso8601 $logdate {
  '~^(?<ymd>\d{4}-\d{2}-\d{2})' $ymd;
  default                       'date-not-found';
}

# 一般位於server塊
access_log /home/ubuntu/www/log/access_www-$logdate.log;
error_log /home/ubuntu/www/log/error_www-$logdate.log;
# 提高日誌效率,不是控制日誌檔案個數
open_log_file_cache max=10;

如果發現只是建立檔案'error_www-$logdate.log',且內容包括以下部分:

"/home/ubuntu/www/log/access_www-2020-09-28.log" failed (13: Permission denied) while logging request

這說明nginx的許可權無法建立檔案/home/ubuntu/www/log/access_www-2020-09-28.log,則需要以下步驟:

# 把使用者新增到當前使用者組
sudo gpasswd -a www-data ubuntu
# 新增許可權
sudo chmod -R a+w /home/ubuntu/frp/log
# 如果還是出錯的話,直接修改/etc/nginx/nginx.conf檔案
# 把user改為ubuntu即可

相關推薦

使用ACME申請Lets Encrypt證書網站新增HTTPS支援

內容轉載自我的部落格 目錄1. 搭建Web服務2. 安裝nginx3 安裝ACME自動簽發證書3.1 安裝證書3.2 生成證書3.3 安裝證書4. 使用logrotate自動切割日誌檔案5. 配置nginx切割日誌檔案

Web開發必知必會,如何使用 Letsencrypt 網站簽發 HTTPS 證書提供安全支援

技術標籤:全棧開發linuxnginxjavascript 在做 Web 開發中,對網站內容的基本安全加密就是使用 HTTPS,並且在一些重視安全性的軟體中,HTTPS 必不可少,微信開發中配置的域名強制使用 HTTPS,parse-dashboard 的

網站新增APlayer音樂播放控制元件

技術標籤:Pythondjangohtml5 文章目錄 原始碼和文件準備工作修改配置模型與檢視管理後臺編寫模板收尾注意事項可優化內容

Netty服務新增https支援,jdk 證書

技術標籤:javassljavahttps 1、使用JDK自帶的keytool生成一個keystore,這個keystore是服務端使用的,直接在bin目錄下執行

SpringBoot服務新增HTTPS證書的方法

HTTPS是HTTP的安全版本,旨在提供資料傳輸層安全性(TLS)。當你的應用不使用HTTP協議的時候,瀏覽器位址列就會出現一個不安全的提示。HTTPS加密每個資料包以安全方式進行傳輸,並保護敏感資料免受竊聽者或黑客的攻擊

Centos8 騰訊雲 安裝 certbot Nginx 通過 certbot 網站自動配置 SSL 證書並續期

https://certbot.eff.org/lets-encrypt/centosrhel8-nginx.html https://blog.51cto.com/wzlinux/2385116 網上很多文章寫了各種方法,官網上有解釋,

新增Mitmproxy證書安卓系統證書

來源:https://www.cnblogs.com/oboth-zl/p/13818981.html Android證書分為“使用者證書”和“系統證書”兩種,在設定->安全->\"檢視安全證書\"列表中,可以看到“系統”和“使用者”兩個列表。使用者通過

如何檢視網站安全證書網站安全證書怎麼申請

為了提高網站的資訊保安,給網站配置一個安全證書是很不錯的,該證書的安全性是很高的,可以為網站的資訊保安保駕護航。其次,瀏覽網站的時候一定要提前去檢視該完整是否有安全證書,此時就可以保護網站資訊保安。那

使用certbot製作免費Lets encrypt SSL證書

利用certbot軟體包可以免費製作SSL證書 這對小網站和測試專案太有用了,下面記錄一下製作證書的流程和方法。以備後用。以centos7系統例 其他系統類似。

caddy(3) caddy 新增一個 反向代理外掛

caddy-grpc caddy 新增一個 反向代理外掛 專案地址:github.com/yhyddr/cadd… 前言 上一次我們學習瞭如何在 Caddy 中擴充套件自己想要的外掛。部落格中只提供了大致框架。這一次,我們來根據具體外掛 caddy-g

opencv之影象新增邊界的方法示例

我們經常會有對影象邊緣做擴充套件的需求.比如 希望卷積後得到的矩陣大小不變希望改變影象大小,但是不改變寬高比opencv實現

TensorFlow——Checkpoint模型新增檢查點的例項

1.檢查點 儲存模型並不限於在訓練模型後,在訓練模型之中也需要儲存,因為TensorFlow訓練模型時難免會出現中斷的情況,我們自然希望能夠將訓練得到的引數儲存下來,否則下次又要重新訓練。

vue專案中使用bpmn節點新增顏色的方法

內容概述 bpmn是比較方便的繪製流程圖的外掛,官方demo https://github.com/bpmn-io/bpmn-js-examples

win10新增右鍵“以管理員身份執行MSI”選項

win+r執行regedit以開啟登錄檔編輯器 定位到HKEY_CLASSES_ROOT\\Msi.Package\\shell 右鍵shell,新建 項 項名稱為runas

第二十三篇 -- 窗體新增背景圖片

效果圖: play.py #!/usr/bin/env python # _*_ coding: UTF-8 _*_ \"\"\"=================================================

WPF圖片新增倒圓角

//把圖片設定Border的背景<Grid Width=\"973\" Height=\"688\"> <Border Name=\"Image_Game\" Width=\"973\" Height=\"688\" BorderBrush=\"#FF2B9EC5\" BorderThickness=\"4\" CornerRadius=\"10\">

C# 使用Dev控制元件gridView新增複選框,實現多選和單選

C# 使用Dev控制元件gridView新增複選框,實現多選和單選,程式碼如下: 1 this.gridControl1.DataSource = dtss;

xenomai核心解析--雙核系統呼叫(三)--如何xenomai新增一個系統呼叫

版權宣告:本文本文博主原創文章,轉載請註明出處。如有錯誤,歡迎指正。

給你的網站新增炫酷的動畫註釋

前置 rough-notation 用於在網頁上建立註釋並設定註釋動畫的小型 JavaScript 庫。它還可以應用在一些常見前端框架中,比如 Vue、React、 Svelte、Angular 甚至 Web Component。我把它應用在我建立的部落格園面板中,

SpringBlade id新增自增長屬性

ALTER TABLE blade_client CHANGE id id BIGINT auto_increment not null; ALTER TABLE blade_code CHANGE id id BIGINT auto_increment not null;