使用ACME申请Lets Encrypt证书为网站添加HTTPS支持

内容转载自我的博客

目录

• 1. 搭建Web服务
• 2. 安装nginx
• 3 安装ACME自动签发证书
  • 3.1 安装证书
  • 3.2 生成证书
  • 3.3 安装证书
• 4. 使用logrotate自动切割日志文件
• 5. 配置nginx切割日志文件

1. 搭建Web服务

首先安装python的flask库，可以使用以下代码：
pip install -i https://pypi.tuna.tsinghua.edu.cn/simple flask
然后编写最简单的flask项目，只需创建目录/home/ubuntu/www/用于存放代码，创建目录/home/ubuntu/www/log/用于存放日志，再创建一个/home/ubuntu/www/main.py文件，内容如下：

# 导入Flask类
from flask import Flask

# 实例化Flask
app = Flask(__name__)

# route()方法用于设定路由
@app.route('/')
def hello_world():
    return 'Hello, World!'

if __name__ == '__main__':
    # host为0.0.0.0表示所有IP均可访问此Web服务
    app.run(host="0.0.0.0", port=5000, debug=False)

最后输入命令python3 main.py即可运行此项目

2. 安装nginx

更新软件源：sudo apt-get update
安装nginx：sudo apt-get install nginx
访问云主机的ip确认nginx安装成功
修改nginx配置文件：sudo vi /etc/nginx/nginx.conf
在http{}合适位置添加以下代码
一定要将http{}里面的最后两个include行注释掉，修改才会生效

    server{
        listen 80;
        server_name web.example.cn;
        access_log /home/ubuntu/www/log/access.log;
        error_log /home/ubuntu/www/log/error.log;
        location /{
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_redirect off;
            proxy_buffering off;
            proxy_pass http://127.0.0.1:5000;
        }
    }

不重启重新载入最新配置文件内容：sudo service nginx reload
停止nginx服务：sudo service nginx stop
重启nginx服务：sudo service nginx restart
另外在域名服务商添加一条名称为web的A记录解析到本云主机的IP即可访问http://web.example.cn，会看到网页返回Hello, World!

3 安装ACME自动签发证书

https证书是Let's Encrypt网站签发的，每次有限期三个月，手动申请很麻烦，所以使用ACME工具来自动申请和续期

3.1 安装证书

安装很简单，只需要一个命令：curl https://get.acme.sh | sh
此命令实际帮用户进行以下操作：

• 把acme.sh安装到用户的home目录下，即~/.acme.sh/
• 创建一个bash的alias, 方便使用：alias acme.sh=~/.acme.sh/acme.sh
• 自动创建cronjob, 每天 0:00 点自动检测所有的证书, 如果快过期了, 需要更新, 则会自动更新证书

如果~目录下无.bashrc需要手动创建；如果用户ssh重新登录，.bashrc文件不会自动生效，需要进行下一步
终端输入vim .bash_profile，然后写入以下内容：

if [ -s ~/.bashrc ]; then
    source ~/.bashrc;
fi

安装过程不会污染已有的系统任何功能和文件, 所有的修改都限制在安装目录中： ~/.acme.sh/

3.2 生成证书

首先登录DNSPod，它已被腾讯云收购，可直接使用腾讯云账户登录。在里面创建API接口和秘钥。然后在命令行输入：

export DP_Id="152345"
export DP_Key="235b55ffd5a4588aabbccee1e2e5a74a"
acme.sh --issue  -d example.cn -d *.example.cn --dns dns_dp

等待验证DNS和创建证书即可（接口和秘钥信息会被自动保存在~/.acme.sh/account.conf配置文件，方便自动续期）。这里生成主域名example.cn的证书和泛域名*.example.cn证书

3.3 安装证书

sudo mkdir /etc/nginx/ssl/
sudo chmod -R 777 ssl
acme.sh --install-cert -d example.cn 
--key-file /etc/nginx/ssl/example.cn.key 
--fullchain-file /etc/nginx/ssl/example.cn.cer 
--reloadcmd "service nginx force-reload"

在终端输入sudo vim /etc/nginx/ssl/example.cn.ssl.conf来创建ssl配置的单文件example.cn.ssl.conf，文件内容为：

ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_certificate ssl/example.cn.cer;
ssl_certificate_key ssl/example.cn.key;

最后sudo vim /etc/nginx/nginx.conf在server{}里面添加一行：include ssl/example.cn.ssl.conf;，最终的代码如下：

    server{
        listen 80;
        server_name web.example.cn;
        access_log /home/ubuntu/www/log/access.log;
        error_log /home/ubuntu/www/log/error.log;
        include ssl/example.cn.ssl.conf;
        location /{
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_redirect off;
            proxy_buffering off;
            proxy_pass http://127.0.0.1:5000;
        }
    }

此时不重启重新载入最新nginx配置文件内容sudo service nginx reload，即可访问https://web.example.cn，会看到网页返回Hello, World!

4. 使用logrotate自动切割日志文件

如果某个web服务自己会产生日志（步骤1中的Python程序，可以使用logging.handlers.RotatingFileHandler来分割日志文件），且没有自带的分割日志文件的功能，那么我们可以借助logrotate实现分割，这里我们对nginx的日志文件进行分割
创建/etc/logrotate.d/nginx-myweb文件，内容如下

/home/ubuntu/www/log/access.log /home/ubuntu/www/log/error.log{
    weekly
    minsize 10M
    rotate 10
    missingok
    dateext
    notifempty
    sharedscripts
    postrotate
        [ -e /usr/local/nginx/logs/nginx.pid ] && kill -USR1 `cat /usr/local/nginx/logs/nginx.pid`
    endscript
}

系统会定时运行logrotate，一般是每天一次，可以在此文件/etc/cron.daily/logrotate查看

5. 配置nginx切割日志文件

在nginx的配置文件中，添加以下内容，这种方法只能切割文件，不能自动删除过时文件：

# 可以位于http、server块
map $time_iso8601 $logdate {
  '~^(?<ymd>d{4}-d{2}-d{2})' $ymd;
  default                       'date-not-found';
}

# 一般位于server块
access_log /home/ubuntu/www/log/access_www-$logdate.log;
error_log /home/ubuntu/www/log/error_www-$logdate.log;
# 提高日志效率，不是控制日志文件个数
open_log_file_cache max=10;

如果发现只是创建文件'error_www-$logdate.log'，且内容包括以下部分：

"/home/ubuntu/www/log/access_www-2020-09-28.log" failed (13: Permission denied) while logging request

这说明nginx的权限无法创建文件/home/ubuntu/www/log/access_www-2020-09-28.log，则需要以下步骤：

# 把用户添加到当前用户组
sudo gpasswd -a www-data ubuntu
# 添加权限
sudo chmod -R a+w /home/ubuntu/frp/log
# 如果还是出错的话，直接修改/etc/nginx/nginx.conf文件
# 把user改为ubuntu即可