NGINX.COM
Web Server Load Balancing with NGINX Plus

[编者按 —— 为 NGINX 配置 Let’s Encrypt 证书的操作指南博文(发布于 2016 年 2 月)已重定向到此处。原博文中的操作说明已弃用。

本文进行了更新,消除了对 certbot‑auto 的依赖——电子前沿基金会 (EFF) 在面向 Debian 和 Ubuntu 的 Certbot 1.10.0 和面向其他所有操作系统的 Certbot 1.11.0中已弃用该工具。更多详细信息和替代安装方法,请参阅 EFF 的这篇博文.

另请参阅我们 nginx.conf 2015 发布的博文,其中电子前沿基金会的 Peter Eckersley 和 Yan Zhu 介绍了当时的新证书颁发机构 Let’s Encrypt。]

众所周知,网站的 SSL/TLS 加密会为您的用户带来更靠前的搜索排名和更出色的安全性。但目前有许多障碍阻碍了网站所有者采用 SSL。

其中两个最大障碍是证书获取成本高昂和所涉人工流程繁琐。而现在,有了 Let’s Encrypt,这些都不再是问题。Let’s Encrypt 支持所有人免费使用 SSL/TLS 加密。

Let’s Encrypt 是一家免费、开放、自动化的证书颁发机构 (CA)。是的,没错Let’s Encrypt颁发的 SSL/TLS 证书是免费的。现今的大多数浏览器都信任 Let’s Encrypt 颁发的证书,包括旧版浏览器,例如 Windows XP SP3 上的 Internet Explorer。此外,Let’s Encrypt 实现了证书颁发和更新的全自动化。

NGINX 对于成为 Let’s Encrypt 的赞助者之一感到非常骄傲,阅读 《支持开源,打造更安全的世界:F5 NGINX 宣布赞助 Let’s Encrypt 和 OpenSSL》一文了解更多。

本文介绍了如何使用 Let’s Encrypt 客户端生成证书,以及如何自动配置 NGINX 开源版和 NGINX Plus 以使用这些证书。

 

Let’s Encrypt 的工作原理

在颁发证书之前,Let’s Encrypt 会验证域名的所有权。在您的主机上运行的 Let’s Encrypt 客户端将创建一个临时文件(一个令牌),其中包含所需的信息。然后,Let’s Encrypt 验证服务器会发出 HTTP 请求以检索文件并验证令牌,从而验证您域名的 DNS 记录是否解析到运行 Let’s Encrypt 客户端的服务器。

 

准备工作

在开始使用 Let’s Encrypt 之前,您需要:

  • 安装 NGINX 开源版或 NGINX Plus
  • 拥有或管理需安装证书的注册域名。如果没有注册域名,您可以在域名注册商处申请。
  • 创建一条 DNS 记录,将您的域名和服务器的公共 IP 地址关联。

现在您可以用NGINX 开源版或 NGINX Plus轻松设置 Let’s Encrypt (为了便于阅读,下文将统称为 NGINX)。

注:我们在 Ubuntu 16.04 (Xenial) 上测试了本文所述的程序。

 

1 下载 Let’s Encrypt 客户端

首先,下载 Let’s Encrypt 客户端 certbot

如上所述,我们在 Ubuntu 16.04 上测试了相关指令,以下是在该平台上运行的相应命令:

$ apt-get update
$ sudo apt-get install certbot
$ apt-get install python-certbot-nginx

用 Ubuntu 18.04和更高版本, 替代 Python 3版本:

$ apt-get update
$ sudo apt-get install certbot
$ apt-get install python3-certbot-nginx

 

2 设置 NGINX

certbot 可以自动完成 NGINX 的 SSL/TLS 配置。它会在您的 NGINX 配置中查找并修改包含 server_name 指令(含有您为其请求证书的域名)的 server 块。在我们的示例中,域名为 www.example.com.

  1. 假设您在一个全新的 NGINX 安装上进行设置,请使用文本编辑器在 /etc/nginx/conf.d 目录中创建一个名为 domain‑name.conf 的文件(在我们的示例中为 www.example.com.conf)。

  2. 使用 server_name 指令指定您的域名(如果域名有变体的话也请指定):

    server {
        listen 80 default_server;
        listen [::]:80 default_server;
        root /var/www/html;
        server_name example.com www.example.com;
    }
  3. 保存文件,然后运行以下命令来验证配置的语法并重新启动 NGINX:

    $ nginx -t && nginx -s reload

 

3 获取 SSL/TLS 证书

certbot 的 NGINX 插件负责重新配置 NGINX,并在必要时重新加载其配置。

  1. 运行以下命令,使用 NGINX 插件生成证书:

    $ sudo certbot --nginx -d example.com -d www.example.com
  2. 根据 certbot 的提示配置 HTTPS 设置,包括输入您的电子邮件地址并同意 Let’s Encrypt 服务条款。

  3. 证书生成后,NGINX 重新加载新设置。certbot 生成一条消息,显示证书成功生成,并指示证书在服务器上的位置。

    Congratulations! You have successfully enabled https://example.com and https://www.example.com 
    
    -------------------------------------------------------------------------------------
    IMPORTANT NOTES: 
    
    Congratulations! Your certificate and chain have been saved at: 
    /etc/letsencrypt/live/example.com/fullchain.pem 
    Your key file has been saved at: 
    /etc/letsencrypt/live/example.com//privkey.pem
    Your cert will expire on 2017-12-12.

    注:Let’s Encrypt 证书在 90 天后到期(在本例中,到期时间为 2017 年 12 月 12 日)。有关自动更新证书的信息,请参阅下方“自动更新 Let’s Encrypt 证书”一节。

如果查看 domain‑name.conf,您会发现 certbot 已对其进行了修改:

server {
    listen 80 default_server;
    listen [::]:80 default_server;
    root /var/www/html;
    server_name  example.com www.example.com;

    listen 443 ssl; # managed by Certbot

    # RSA certificate
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; # managed by Certbot

    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot

    # Redirect non-https traffic to https
    if ($scheme != "https") {
        return 301 https://$host$request_uri;
    } # managed by Certbot
}

 

4 自动更新 Let’s Encrypt 证书

Let’s Encrypt 证书将在 90 天后到期。我们建议您自动更新证书。此处,我们将一个 cron 作业添加到现有 crontab 文件中,以执行这一操作。

  1. 打开 crontab 文件。

    $ crontab -e
  2. 添加 certbot 命令,并设置为每天运行。在本例中,我们每天中午运行该命令。该命令检查服务器上的证书是否会在未来 30 天内到期,如果是,则更新证书。--quiet 指令告知 certbot 不要生成输出。

    0 12 * * * /usr/bin/certbot renew --quiet
  3. 保存并关闭文件。所有已安装的证书将自动更新和重新加载。

 

总结

以上,我们安装了 Let’s Encrypt 代理来为注册域名生成 SSL/TLS 证书,然后配置 NGINX 使用证书,并设置了自动更新证书。借助面向 NGINX 和 NGINX Plus 的 Let’s Encrypt 证书,您可以在几分钟内轻松搭建一个安全的网站。

如欲亲自试用 NGINX Plus 和 Let’s Encrypt,请立即下载 30 天免费试用版,或与我们联系以讨论您的用例。

Hero image
免费白皮书:
NGINX 企阅版全解析

助力企业用户规避开源治理风险,应对开源使用挑战

关于作者

Amir Rawdat

解决方案工程师

Amir Rawdat 是 NGINX 的技术营销工程师,专门负责各种技术内容的撰写。他在计算机网络、计算机编程、故障排除和内容撰写方面拥有深厚的背景。此前,Amir 是诺基亚(Nokia)的客户应用工程师。

关于 F5 NGINX

F5, Inc. 是备受欢迎的开源软件 NGINX 背后的商业公司。我们为现代应用的开发和交付提供一整套技术。我们的联合解决方案弥合了 NetOps 和 DevOps 之间的横沟,提供从代码到用户的多云应用服务。访问 nginx-cn.net 了解更多相关信息。