使用ACME申请LetsEncrypt证书为网站添加HTTPS支持

内容转载自我的博客

1. 搭建Web服务

首先安装python的flask库&＃xff0c;可以使用以下代码&＃xff1a;
pip install -i https://pypi.tuna.tsinghua.edu.cn/simple flask
然后编写最简单的flask项目&＃xff0c;只需创建目录/home/ubuntu/www/用于存放代码&＃xff0c;创建目录/home/ubuntu/www/log/用于存放日志&＃xff0c;再创建一个/home/ubuntu/www/main.py文件&＃xff0c;内容如下&＃xff1a;

# 导入Flask类
from flask import Flask# 实例化Flask
app &＃61; Flask(__name__)# route()方法用于设定路由
&＃64;app.route(&＃39;/&＃39;)
def hello_world():return &＃39;Hello, World!&＃39;if __name__ &＃61;&＃61; &＃39;__main__&＃39;:# host为0.0.0.0表示所有IP均可访问此Web服务app.run(host&＃61;"0.0.0.0", port&＃61;5000, debug&＃61;False)


最后输入命令python3 main.py即可运行此项目

2. 安装nginx

更新软件源&＃xff1a;sudo apt-get update
安装nginx&＃xff1a;sudo apt-get install nginx
访问云主机的ip确认nginx安装成功
修改nginx配置文件&＃xff1a;sudo vi /etc/nginx/nginx.conf
在http{}合适位置添加以下代码
一定要将http{}里面的最后两个include行注释掉&＃xff0c;修改才会生效

server{listen 80;server_name web.example.cn;access_log /home/ubuntu/www/log/access.log;error_log /home/ubuntu/www/log/error.log;location /{proxy_set_header Host $host;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_redirect off;proxy_buffering off;proxy_pass http://127.0.0.1:5000;}}


不重启重新载入最新配置文件内容&＃xff1a;sudo service nginx reload
停止nginx服务&＃xff1a;sudo service nginx stop
重启nginx服务&＃xff1a;sudo service nginx restart
另外在域名服务商添加一条名称为web的A记录解析到本云主机的IP即可访问http://web.example.cn&＃xff0c;会看到网页返回Hello, World!

3 安装ACME自动签发证书

https证书是Let’s Encrypt网站签发的&＃xff0c;每次有限期三个月&＃xff0c;手动申请很麻烦&＃xff0c;所以使用ACME工具来自动申请和续期

3.1 安装证书

安装很简单&＃xff0c;只需要一个命令&＃xff1a;curl https://get.acme.sh | sh
此命令实际帮用户进行以下操作&＃xff1a;

• 把acme.sh安装到用户的home目录下&＃xff0c;即~/.acme.sh/
• 创建一个bash的alias, 方便使用&＃xff1a;alias acme.sh&＃61;~/.acme.sh/acme.sh
• 自动创建cronjob, 每天 0:00 点自动检测所有的证书, 如果快过期了, 需要更新, 则会自动更新证书

如果~目录下无.bashrc需要手动创建&＃xff1b;如果用户ssh重新登录&＃xff0c;.bashrc文件不会自动生效&＃xff0c;需要进行下一步
终端输入vim .bash_profile&＃xff0c;然后写入以下内容&＃xff1a;

if [ -s ~/.bashrc ]; thensource ~/.bashrc;
fi


安装过程不会污染已有的系统任何功能和文件, 所有的修改都限制在安装目录中&＃xff1a; ~/.acme.sh/

3.2 生成证书

首先登录DNSPod&＃xff0c;它已被腾讯云收购&＃xff0c;可直接使用腾讯云账户登录。在里面创建API接口和秘钥。然后在命令行输入&＃xff1a;

export DP_Id&＃61;"152345"
export DP_Key&＃61;"235b55ffd5a4588aabbccee1e2e5a74a"
acme.sh --issue -d example.cn -d *.example.cn --dns dns_dp


等待验证DNS和创建证书即可&＃xff08;接口和秘钥信息会被自动保存在~/.acme.sh/account.conf配置文件&＃xff0c;方便自动续期&＃xff09;。这里生成主域名example.cn的证书和泛域名*.example.cn证书

3.3 安装证书

sudo mkdir /etc/nginx/ssl/
sudo chmod -R 777 ssl
acme.sh --install-cert -d example.cn \
--key-file /etc/nginx/ssl/example.cn.key \
--fullchain-file /etc/nginx/ssl/example.cn.cer \
--reloadcmd "service nginx force-reload"


在终端输入sudo vim /etc/nginx/ssl/example.cn.ssl.conf来创建ssl配置的单文件example.cn.ssl.conf&＃xff0c;文件内容为&＃xff1a;

ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_certificate ssl/example.cn.cer;
ssl_certificate_key ssl/example.cn.key;


最后sudo vim /etc/nginx/nginx.conf在server{}里面添加一行&＃xff1a;include ssl/example.cn.ssl.conf;&＃xff0c;最终的代码如下&＃xff1a;

server{listen 80;server_name web.example.cn;access_log /home/ubuntu/www/log/access.log;error_log /home/ubuntu/www/log/error.log;include ssl/example.cn.ssl.conf;location /{proxy_set_header Host $host;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_redirect off;proxy_buffering off;proxy_pass http://127.0.0.1:5000;}}


此时不重启重新载入最新nginx配置文件内容sudo service nginx reload&＃xff0c;即可访问https://web.example.cn&＃xff0c;会看到网页返回Hello, World!

4. 使用logrotate自动切割日志文件

如果某个web服务自己会产生日志&＃xff08;步骤1中的Python程序&＃xff0c;可以使用logging.handlers.RotatingFileHandler来分割日志文件&＃xff09;&＃xff0c;且没有自带的分割日志文件的功能&＃xff0c;那么我们可以借助logrotate实现分割&＃xff0c;这里我们对nginx的日志文件进行分割
创建/etc/logrotate.d/nginx-myweb文件&＃xff0c;内容如下

/home/ubuntu/www/log/access.log /home/ubuntu/www/log/error.log{weeklyminsize 10Mrotate 10missingokdateextnotifemptysharedscriptspostrotate[ -e /usr/local/nginx/logs/nginx.pid ] && kill -USR1 &＃96;cat /usr/local/nginx/logs/nginx.pid&＃96;endscript
}


系统会定时运行logrotate&＃xff0c;一般是每天一次&＃xff0c;可以在此文件/etc/cron.daily/logrotate查看

5. 配置nginx切割日志文件

在nginx的配置文件中&＃xff0c;添加以下内容&＃xff0c;这种方法只能切割文件&＃xff0c;不能自动删除过时文件&＃xff1a;

# 可以位于http、server块
map $time_iso8601 $logdate {&＃39;~^(?\d{4}-\d{2}-\d{2})&＃39; $ymd;default &＃39;date-not-found&＃39;;
}# 一般位于server块
access_log /home/ubuntu/www/log/access_www-$logdate.log;
error_log /home/ubuntu/www/log/error_www-$logdate.log;
# 提高日志效率&＃xff0c;不是控制日志文件个数
open_log_file_cache max&＃61;10;


如果发现只是创建文件&＃39;error_www-$logdate.log&＃39;&＃xff0c;且内容包括以下部分&＃xff1a;

"/home/ubuntu/www/log/access_www-2020-09-28.log" failed (13: Permission denied) while logging request


这说明nginx的权限无法创建文件/home/ubuntu/www/log/access_www-2020-09-28.log&＃xff0c;则需要以下步骤&＃xff1a;

# 把用户添加到当前用户组
sudo gpasswd -a www-data ubuntu
# 添加权限
sudo chmod -R a&＃43;w /home/ubuntu/frp/log
# 如果还是出错的话&＃xff0c;直接修改/etc/nginx/nginx.conf文件
# 把user改为ubuntu即可