HTTPS化的第一步 —— 申请Let’s Encrypt证书

背景介绍

目前中国的网络环境十分恶劣,运营商劫持的行为比比皆是,最好的对应方式就是把你的站点加密,即启用HTTPS协议。而且下一代HTTP协议(http 2.0)也是建立在HTTPS基础之上的。所以启用HTTPS是一举多得的行为。关于HTTPS协议本身网上有很多介绍,这里不详细说明了,不了解的可以去google一下。

要启用HTTPS,首先要有一个服务器证书,本文会详细介绍一下如何在Let’s Encrypt上申请到免费证书。

相信有很多朋友已经申请过StartSSL提供的免费证书,但最近有人发现StartSSL涉及到了中国的某公司,这意味着你的网站有可能被冒充。

root@kali:~/# host www.startssl.com
www.startssl.com has address 97.74.232.97     # Godaddy
www.startssl.com has address 52.7.55.170      # Amazon Web Services
www.startssl.com has address 52.21.57.183     # Amazon Web Services
www.startssl.com has address 52.0.114.134     # Amazon Web Services
www.startssl.com has address 50.62.56.98      # Godaddy
www.startssl.com has address 104.192.110.222  # QiHU 360 Inc.
www.startssl.com has address 50.62.133.237    # Godaddy

下面是摘自微博的评论:

@ruanyf 如果你正在使用StartSSL提供的免费证书,请小心了。它的私钥服务器现在放在360的机房,意味着理论上360可以冒充你的网站。网页链接

这个消息一放出之后,也有用户禁用了系统的StartSSL根证书,这部分用户在访问使用StartSSL证书的网站时会提示“站点不可信”。所以之前用StartSSL证书的用户换新证书也是十分有必要的。

Let’s Encrypt介绍

Let's Encrypt是国外一个公共的免费SSL项目,由 Linux 基金会托管,它的来头不小,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,目的就是向网站自动签发和管理免费证书,以便加速互联网由HTTP过渡到HTTPS,目前Facebook等大公司开始加入赞助行列。

Let's Encrypt已经得了 IdenTrust 的交叉签名,这意味着其证书现在已经可以被Mozilla、Google、Microsoft和Apple等主流的浏览器所信任,你只需要在Web 服务器证书链中配置交叉签名,浏览器客户端会自动处理好其它的一切,Let's Encrypt安装简单,未来大规模采用可能性非常大。

Let's Encrypt虽然还在测试当中,但是市场需求非常大,已经有非常多的朋友迫不及待地安装并用上了Let's Encrypt。Let's Encrypt向广大的网站提供免费SSL证书,不管是对于网站站长、互联网用户,还是对整个Web互联网,都是非常有利的,它有利于整个互联网的安全。

如何申请Let’s Encrypt的证书

Let’s Encrypt提供了很便捷的工具去申请证书。申请者首先要去获取工具。可以在本地机器上执行,也可以在网站服务器上执行。

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto --help

执行上面的命令会自动下载缺失的依赖,没有问题的话会打印出来使用帮助。

帮助里提示了有几种获得证书的方式:

Choice of server plugins for obtaining and installing cert:

  --apache          Use the Apache plugin for authentication & installation
  --standalone      Run a standalone webserver for authentication
  (nginx support is experimental, buggy, and not installed by default)
  --webroot         Place files in a server's webroot folder for authentication

这里要介绍一下这个申请工具的运作原理,执行它的时候会产生类似1k8HnVu7aKIMcTm4XYzjYlmgLtMntkuhLCo8c8B3pyo.x24B1t7ILOHGEKSRUY3Wsg9OCNL2E7NJOff_xfZaa-s的字符串,然后接着它会请求http://www.zhoumingzhi.com/.well-known/acme-challenge/1k8HnVu7aKIMcTm4XYzjYlmgLtMntkuhLCo8c8B3pyo这个地址,再看返回的数据是不是上面那一堆字符串,如果是的话就说明申请者对这个域名有所有权,接下来就会发放证书文件。上面提到的那几种方式就是方便用户验证域名所有权的。为了方便理解,我们用通用性最好的方式——手动操作。

./letsencrypt-auto certonly --manual -d www.zhoumingzhi.com --email mingzhi22@gmail.com

执行上面的命令后会有几处让你确认的窗口,按OK就好。然后会出现类似这样的提示:

Make sure your web server displays the following content at
http://www.zhoumingzhi.com/.well-known/acme-challenge/ArUM149fkLfqBTg5cHw37_WRVGKpARnb1_fgpgNGhrw before continuing:

ArUM149fkLfqBTg5cHw37_WRVGKpARnb1_fgpgNGhrw.x24B1t7ILOHGEKSRUY3Wsg9OCNL2E7NJOff_xfZaa-s

现在需要配置你域名所对应的服务器,确保http://www.zhoumingzhi.com/.well-known/acme-challenge/ArUM149fkLfqBTg5cHw37_WRVGKpARnb1_fgpgNGhrw能返回ArUM149fkLfqBTg5cHw37_WRVGKpARnb1_fgpgNGhrw.x24B1t7ILOHGEKSRUY3Wsg9OCNL2E7NJOff_xfZaa-s,如果都准备好了的话按任意键继续,稍等几秒钟,证书就生成好了。

接下来按https://letsencrypt.readthedocs.org/en/latest/using.html#where-are-my-certificates说的去配置你的服务器。

发表评论