当前位置:澳门贵宾厅 > Web > HTTPS 就不需要改代码了,沃通的CA证书就相继被Mozilla和Google封杀了
HTTPS 就不需要改代码了,沃通的CA证书就相继被Mozilla和Google封杀了
2020-02-15

其实 springboot 本身就支持 HTTPS(howto-configure-ssl),但是这需要改项目代码不太优雅,于是就想直接用nginx反向代理到本地服务,这样在nginx层面做 HTTPS 就不需要改代码了,只需修改 host 将后端测试环境域名指向nginx服务的 IP 即可,而且可以适用于其它的 HTTP 服务开发调试。

配置

别担心,Cerbot就是为了减少配置而生的。这里的配置即创建一个目录,配置域名访问服务器即可。首先创建一个文件夹,用于letsencrypt的目录。

$ sudo mkdir -p /etc/letsencrypt

然后编辑nginx,启动一个基本的web服务。假设你的网站根目录再/var/www下。nginx配置大致如下

server {
        listen 80 default_server;

        root /var/www;

        index index.html index.htm index.nginx-debian.html;

        server_name www.example.com;

        location / {

                try_files $uri $uri/ =404;
        }

}

配置完毕nginx,确保能访问 http://www.example.com。配置域名和http服务器的主要作用在于让letsencrypt校验你是该域名的所有者。因为等下调用Certbot命令的时候,会在wwwHTTPS 就不需要改代码了,沃通的CA证书就相继被Mozilla和Google封杀了。目录下创建一个隐藏的.well-known/acme-challenge的文件,然后letsencrypt访问http://www.example.com/.well-known/acme-challenge。如果无法访问,那么letsencrypt会认为该域名不是你的,自然就无法为你签发证书了。

docker run -d --name  -p 443:443 -v ~/forword/ssl:/usr/local/nginx/ssl -v ~/forword/config/nginx.conf:/etc/nginx/conf.d/default.conf nginx

安装 Cerbot

Certbot专门用来部署Let‘s encrypt的工具,其官网会根据使用的web服务器软件和操作系统平台,提供响应的安装工具和安装方法。

我这里选择了NginxUbuntu16.10的组合。会看到网站跳转到一个简易的使用文档。使用下面的命令安装即可:

WechatIMG2.jpeg

$ sudo add-apt-repository ppa:certbot/certbot
$ sudo apt-get update
$ sudo apt-get install certbot 

对于Ubuntu14以上的版本,可能并没有add-apt-repository。需要安装下面的软件包:

$ sudo apt-get install python-software-properties
$ sudo apt-get install software-properties-common 

Cerbot是EFF为了避免以前使用letsencyrpt配置繁琐而开发的工具。因操作系统不一样,安装的软件包也不一样,例如centos安装的是cerbot-auto,以前的ubuntu安装的则是letsencyrpt。具体用那个,直接通过上面的组合,根据文档提示即可。

# 生成一个RSA私钥openssl genrsa -out root.key 2048# 通过私钥生成一个根证书openssl req -sha256 -new -x509 -days 365 -key root.key -out root.crt  -subj "/C=CN/ST=GD/L=SZ/O=lee/OU=work/CN=fakerRoot"

生成证书

又是安装,又是配置服务器。目前为止还不算复杂。当然,下面也不会复杂,有了上面的准备,生成证书只需要一条命令。

$ sudo certbot certonly --webroot -w /var/www -d www.example.com 

运行命令之后,会有一些选择,Yes或者No,有一步需要提供一个邮箱,用于证书快过期的时候收到letsencrypt的提示。

上面的命令中,certonly是子命令,webroot是一个插件。w参数表示网站的根目录,即certbot创建.well-know的地方,d参数表示签发的域名。可以一次指定多个 w 网站d 域名的配对。

对于其他系统,有可能不是这个certbot命令,可能是certbot-auto或者letsencrypt

签发成功之后,就会在/etc/letsencrypt下生成如下的文件:

$ ls
accounts  archive  csr  keys  live  post-hook.d  pre-hook.d  renew-hook.d  renewal

其中archive文件夹存放多个归档的证书,keys是所有的证书。这些都是跟重签证书和续有效期有关的。使用certbot的工具,我们可以忽略这些目录。当前使用的证书存放在live文件下。

/etc/letsencrypt/live/www.example.com 目录下有README cert.pem chain.pem fullchain.pem privkey.pem这几个文件,

实际上live目录的存放的证书文件都是对archive的连接。我们只要指定该目录的文件,当证书更下的时候,会自动修改连接。

注:生成的服务器证书域名要支持测试环境访问的域名,否则浏览器会提示证书不安全。

配置HTTPS

我们已经生成了SSL证书,下面就是应用到我们的服务器了。对于配置nginx的https,有mozilla的一个网站提供了最佳实践。我们只需要选择nginx和openssl的版本,就会自动生成一个基础配置给我们,非常方便

WechatIMG3.jpeg

对于上面的配置,大致如下:

server {
    listen 80 default_server;
    listen [::]:80 default_server;

    # Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
    ssl_certificate /path/to/signed_cert_plus_intermediates;
    ssl_certificate_key /path/to/private_key;
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;

    # Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
    ssl_dhparam /path/to/dhparam.pem;

    # intermediate configuration. tweak to your needs.
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
    ssl_prefer_server_ciphers on;

    # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
    add_header Strict-Transport-Security max-age=15768000;

    # OCSP Stapling ---
    # fetch OCSP records from URL in ssl_certificate and cache them
    ssl_stapling on;
    ssl_stapling_verify on;

    ## verify chain of trust of OCSP response using Root CA and Intermediate certs
    ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;

    ....
}

listen 443 ssl http2;表示监听443端口,并开启http2,当然也可以不开启。

ssl_certificate配置fullchain.pem的路径; ssl_certificate_key配置privkey.pem的路径。

ssl_dhparam的配置/etc/nginx/ssl。如果不存在这个文件,就自己创建。创建的命令如下:

$ sudo mkdir /etc/nginx/ssl
$ sudo openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

生成ssl_dhparam.pem文件大概需要一分钟。ssl_trusted_certificate的配置是可选的,并且nginx文档也提到ssl_certificate 如果已经包含了intermediates,所以我们就配置这个。

resolver的作用是配置解析OCSP服务器的域名,通常会写VPS云服务商提供的DNS服务器。这里我们也忽略。

配置完毕之后,重启nginx,此时再访问你的域名www.example.com就能看见https的协议,浏览器加上了一把绿色的小锁。

# 生成一个RSA私钥openssl genrsa -out server.key 2048# 生成一个带SAN扩展的证书签名请求文件openssl req -new  -sha256  -key server.key  -subj "/C=CN/ST=GD/L=SZ/O=lee/OU=work/CN=xxx.com"  -reqexts SAN  -config (cat /etc/pki/tls/openssl.cnf  (printf "[SAN]nsubjectAltName=DNS:*.xxx.com,DNS:*.test.xxx.com"))  -out server.csr# 使用之前生成的根证书做签发openssl ca -in server.csr  -md sha256  -keyfile root.key  -cert root.crt  -extensions SAN  -config (cat /etc/pki/tls/openssl.cnf  (printf "[SAN]nsubjectAltName=DNS:xxx.com,DNS:*.test.xxx.com"))  -out server.crt

更新证书

letsencrypt的证书权威且安全,就是有效期只有90天。过期前需要续时间。好在certbot提供的工具足够简单。

运行命令sudo certbot renew即可续时间,如果还没到过期时间,运行命令也不会有大碍。当然你可以使用命令测试sudo certbot renew --dry-run。续的时候certbot也会根据上面配置域名的时候,校验服务器上.well-know。确保你的服务器依然可以访问这个文件,不然会认证失败。

成功续了时间之后,还需要重启服务器。因此需要自己写一个脚本或者cron。定期更新证书的有效期并且重启nginx服务。

原文 -use-nginx-proxy/

前段时间,看见很多大会都在分享全站HTTPS的经验。HTTPS固然好,前提是SSL证书,并且签发证书的机构要靠谱。沃通的CA证书就相继被Mozilla和Google封杀了。曾经对于普通用户,权威,安全,并且免费的证书无疑就像天上的星星,可望而不可及。现在,这些星星变成了馅饼掉了下来。没错,我们可以申请安全免费的ssl证书--- Let‘s Encrypt。

由于服务证书是自己签发的,并不会被浏览器所信任,所以需要将根证书安装至操作系统中。

Let’s Encrypt是电子前哨基金会(EFF)发布的免费 SSL 证书服务,Google,Mozilla和Microsoft都极力支持。很早之前就听说了let’s encrypt,当时碍于其证书有效期短,并且配置麻烦,遂懒得折腾。最近发现他们的网站发布了工具和一系列自动化的工作流配置。尝试了一下,还蛮不错。

受信任的根证书颁发机构-导入

总结

Let‘s Encrypt项目刚开始的时候,使用确实很麻烦。有好心人做了第三方配置脚本,可是对不同系统的兼容性比较差。不知道是不是用户反馈还是EFF看不下去了,才开发了Certbot。Certbot确实是神器,化繁为简。由此可见,很多时候,我们可以通过技术创造去提供更好的服务。使用HTTPS,开启HTTP2.0。让letsencrypt为你的网站保驾护航。

在需要调试时,只需要将本地服务启动,再将 host 中将要测试的域名解析到nginx服务器的 IP,即可将前端请求转发到开发环境上,通过浏览器地址栏的小锁图标可以看到证书,已验证服务已经部署成功。

检测SSL的安全性

配置成功HTTPS之后,为了验证我们的成果,可以通过Qualys SSL Labs网站检测。不出意外,你将得到一个A+。如果还没有,则仔细看看还差什么方面的修补啦。

如果开启了nginx的HTTP2配置,也会看见浏览器访问的开发者工具中,显示的h2的协议。当然,nginx开启http需要版本在1.9.5之上,编译还需要设置--with-http_v2_module。对于1.10.1以上的版本,则默认安装的就能开启http2的功能。

启动

nginx 配置

root.crtserver.keyserver.crt

服务器证书生成

现在公司项目都是前后端分离的方式开发,有些时候由于某些新需求开发或者 bug 修改,想要让前端直接连到我本地开发环境进行调试,而前端代码我并没有,只能通过前端部署的测试环境进行测试,最简单的办法就是直接改 host 把后端测试环境的域名指向我本地的 IP,这对于 HTTP 协议的服务来说是很轻易做到的,不过公司的测试环境全部上了 HTTPS,而我本地的服务是 HTTP 协议这样就算是改了 host 也会由于协议不同导致请求失败,所以需要将本地的服务升级成 HTTPS 才行。

根证书生成

签发证书

nginx.conf

修改 host

通过配置ssl_certificate和ssl_certificate_key来指定服务器的证书和私钥,proxy_pass指定开发环境的访问地址。

将 nginx 配置和证书相关文件挂载至对于的目录,并暴露 443 端口,这样服务启动后即可通过 访问到本地开发环境了。

打开 chrome 浏览器-设置-高级-管理证书

时间: 2020-01-01阅读: 64标签: 代理

为了方便,直接使用docker启动了一个 nginx 容器进行访问,并将证书和配置文件挂载到对应的目录:

方案

首先要生成一套证书用于 nginx 的 ssl 配置,直接使用openssl工具生成一套根证书和对应的服务证书。

安装根证书

这样就得到了三个关键文件:

选择之前生成的根证书root.crt导入即可

本文中其实已经提到了两种解决方案了,其实还有其它的解决方案,例如使用fidder这种中间人攻击的方式来实现,这里就不做多叙了。

server { listen 443 ssl; server_name _; ssl_certificate "/usr/local/nginx/ssl/server.pem"; ssl_certificate_key "/usr/local/nginx/ssl/server.key"; location / { proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header Host $http_host; proxy_set_header X-NginX-Proxy true; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_pass ; proxy_redirect off; proxy_http_version 1.1; }}

后记