nginx服务器使用acme.sh申请letsencrypt泛域名证书

泛域名证书可以支持一张证书为一个域名下所有子域名提供ssl服务(如*.lyz810.com)
acme.sh实现了acme协议,可以从letsencrypt上申请免费的证书

本文主要以DNSPod域名为例,通过acme.sh申请*.lyz810.com的letsencrypt证书
一、安装acme.sh
可以以普通用户或root用户安装使用

$ curl  https://get.acme.sh | sh

执行上述安装后:
1.会在用户的home下创建一个.acme.sh/的目录
2.生成一个cron任务(可以通过crontab -l查看)
3.创建一个alias,方便直接使用acme.sh

二、获取DNSPod的开发者授权
1.登录DNSPod
2.点击左侧导航的用户中心下的安全设置,点击API Token的查看(https://www.dnspod.cn/console/user/security)
3.点击创建API Token,创建一个API Token,注意token创建之后,无法再次在控制台看到完整的token,如果需要请自行保存完整token以备后续使用
4.填写token名称,根据个人喜好填写一个名称,如acme域名验证
5.生成成功,将id和token记录下来

三、申请证书

$ export DP_Id="第二步申请的ID"
$ export DP_Key="第二步申请的token"
$ acme.sh --issue --dns dns_dp -d "*.lyz810.com" -d lyz810.com

注意,由于泛域名带有*所以要用引号把域名引起来,普通域名(如www.lyz810.com)不需要
这里申请了2个域名一个是*.lyz810.com,另一个是lyz810.com,后者是为了访问https://lyz810.com生效而添加的
执行完上述代码,会在DNSPod控制台看到增加了一条TXT解析记录_acme-challenge,脚本会等待一段时间让DNS配置生效
验证成功后,会自动删除刚刚添加的TXT记录
生成的证书文件在~/.acme.sh/*.lyz810.com/中

四、安装证书
第三步生成的证书不建议直接使用,需要进行证书的安装
本例中nginx的ssl证书配置如下:

ssl_certificate /etc/nginx/ssl/fullchain.pem;
ssl_certificate_key /etc/nginx/ssl/privkey.pem;

对应的安装命令为

$ acme.sh --installcert  -d  "*.lyz810.com"   \
        --key-file   /etc/nginx/ssl/privkey.pem \
        --fullchain-file /etc/nginx/ssl/fullchain.pem \
        --reloadcmd  "nginx -s reload"

Nginx配置WordPress与HSTS

本文介绍HSTS基本概念,以及在nginx上配置HSTS的方法,配置站点基于WordPress。

本博客(https://blog.lyz810.com)已开启HSTS,读者可以尝试访问http协议,并观察浏览器的行为。
一、背景介绍
HSTS(HTTP Strict Transport Security)是HTTP严格传输安全,它是全站HTTPS时的一个更安全的策略,并且对网站性能有一定的优化。
全站HTTPS是一个必然的趋势,目前全站HTTPS通常的做法是同时开启80和443端口,当请求访问的是http协议时,通过rewrite将请求301重定向到https协议的对应URI。这么做的缺点是当用户访问http协议的页面时,总会有一次301重定向,增加网络请求以及服务器负担。
使用HSTS后,浏览器在第一次访问http协议时,会通过rewrite重定向到https协议,并根据https协议头中设定的相关响应头缓存下HSTS配置,下次用户再访问该站点下的任意http页面,浏览器会自动通过307跳转到https对应的URI上,不需要向服务器多发送一次请求。
HSTS配置方法如下:
1.当客户端通过HTTPS发出请求时,在服务器返回的超文本传输协议响应头中包含Strict-Transport-Security字段。非加密传输时设置的HSTS字段无效。
2.Strict-Transport-Security有3个参数,max-age表示有效期(如max-age=31536000表示未来的一年内,访问该域名会强制使用https,其中数字表示一年的秒数);includeSubDomains表示子域名也强制使用https;preload主要用于加入preload列表使用。
preload列表是一个站点的列表,他将会被通过硬编码写入 Chrome 浏览器中,列表中的站点将会默认使用 HTTPS 进行访问,此外,Firefox 、Safari 、IE 11 和 Edge 也同样一份 HSTS 站点列表,其中包括了 Chrome 的列表
加入preload列表的条件:

  • 有一张有效的证书
  • 重定向所有的 HTTP 流量到 HTTPS ( HTTPS ONLY )
  • 全部子域名的流量均通过 HTTPS ,如果子域名的 www 存在的话也同样需要通过 HTTPS 传输。
  • 为https协议添加的响应头Strict-Transport-Securit内容必须满足:max-age必须大于18周,必须指定includeSubDomains和preload,如果从当前https站点重定向到其他的站点,那个站点也必须启用HSTS

加入HSTS preload list:https://hstspreload.appspot.com/
二、Nginx配置

server {
  ......
  if ( $https != "on" ) {#https变量的值在https协议下为on,否则为空字符串
     rewrite ^(.*) https://$host$1 permanent;#301定向到https协议的相同URI,主要是首次访问本站的请求使用
     break;
  }

  location / {
     try_files $uri $uri/ /index.php$args;#此行是WordPress使用的,它会将请求都交给/index.php处理
     add_header Strict-Transport-Security max-age=86400000;#添加响应头,过期时间1000天,即1000天之内,浏览器会自动将本站http协议转为https协议
  }

  location ~ \.php$ {
     fastcgi_pass localhost:9000;#fastcgi监听9000端口,其他fastcgi配置写在了公用配置文件中
     add_header Strict-Transport-Security max-age=86400000;#由于正则的优先级更高,所以所有动态的页面均会走这里,需要添加响应头
   }
}

三、使用HSTS的弊端
用户只要访问一次站点,就会在max-age指定的时间内,强制访问https协议,在此期间,如果网站https出现了问题(如证书配置错误),用户就无法进行访问,没有配置HSTS时,证书错误用户可以选择忽略错误继续访问。
如果想要在过期时间内再次开启http访问,是无法做到的(对没有访问过站点的用户可行,只要访问过,过期时间前用户不能访问http协议),如果加入到HSTS Preload List中,就更没有办法启用http访问。
四、浏览器支持度
Chromium和Google Chrome从4.0.211.0版本开始支持HSTS
Firefox 4及以上版本
Opera 12及以上版本
Safari从OS X Mavericks起
Internet Explorer和Microsoft Edge从Windows 10开始支持