LAMP網(wǎng)站申請Let’s Encrypt SSL證書升級https

時間：2022-07-24 12:36:01 | 來源：網(wǎng)站運營

時間：2022-07-24 12:36:01 來源：網(wǎng)站運營

基本概念：

HTTP: 是互聯(lián)網(wǎng)上應用最為廣泛的一種網(wǎng)絡協(xié)議，是一個客戶端和服務器端請求和應答的標準，用于從WWW服務器傳輸超文本到本地瀏覽器的傳輸協(xié)議，它可以使瀏覽器更加高效，使網(wǎng)絡傳輸減少。

HTTPS:是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內(nèi)容就需要SSL。

谷歌、火狐等瀏覽器廠商也已經(jīng)扛起HTTPS大旗，對于HTTP站點會提示不安全警告。而且像谷歌、百度等搜索引擎也早已響應HTTPS號召，都聲稱對HTTPS站點頁面友好甚至優(yōu)先抓取，排名靠前，當然具體實際實施情況就另當別論了。要讓互聯(lián)網(wǎng)站點都升級到HTTPS協(xié)議還需一段時間，但不可否認HTTPS是大勢所趨。

網(wǎng)站環(huán)境：

操作系統(tǒng)：centos6.5 x64 （阿里云ECS服務器）

web服務：Apache 2.4+

免費證書商家：Let's Encrypt SSL

網(wǎng)站程序： ZSITE企業(yè)門戶系統(tǒng)

操作流程：

1.安裝證書

Let's Encrypt SSL免費證書，有效期3個月，需要定期更新。

安裝SSL證書可以使用 certbot 工具，操作十分簡單方便。

下載 certbot，并設置權限：

wget https://dl.eff.org/certbot-autochmod a+x certbot-auto使用certbot申請安裝證書：

./certbot-auto certonly --webroot --apache -w /data/wwwroot/www.chanzhi cms.com -d www.chanzhicms.com --no-self-upgrade -w后面是網(wǎng)站的根目錄路徑，-d后面是申請證書的域名，多個域名的話，在后面繼續(xù)添加設置多個-d即可。

申請成功后，可以查看到SSL證書的有效截止日期。申請的證書默認存放在 /etc/letsencrypt 目錄下。

2.修改Apache配置文件

設置apache的配置文件 /usr/local/apache/conf/httpd.conf，要修改兩個地方，找到下面兩行將其前面的#去掉即可。

LoadModule ssl_module modules/mod_ssl.soInclude conf/extra/httpd-ssl.conf然后修改/usr/local/apache/conf/extra/httpd-ssl.conf 文件，將里面內(nèi)容清空，放入下面內(nèi)容：Listen 443AddType application/x-x509-ca-cert .crtAddType application/x-pkcs7-crl .crlSSLCipherSuite EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5SSLProxyCipherSuite EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5SSLHonorCipherOrder onSSLProtocol all -SSLv2 -SSLv3SSLProxyProtocol all -SSLv2 -SSLv3SSLPassPhraseDialog builtinSSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"SSLSessionCacheTimeout 300Mutex sysvsem defaultSSLStrictSNIVHostCheck on最后修改網(wǎng)站的單獨配置文件，/usr/local/apache/conf/vhost/www.chanzhicm.com.conf ，原本只有80端口配置，這里需要我們加上443端口的配置：

ServerAdmin admin@linuxeye.com DocumentRoot "/data/wwwroot/www.chanzhicms.com" ServerName www.chanzhicms.com ServerAlias chanzhicms.com ErrorLog "/data/wwwlogs/www.chanzhicms.com_error_apache.log" CustomLog "/data/wwwlogs/www.chanzhicms.com_apache.log" combined SetOutputFilter DEFLATE Options FollowSymLinks ExecCGI Require all granted AllowOverride All Order allow,deny Allow from all DirectoryIndex index.html index.phpListen 443 DocumentRoot "/data/wwwroot/www.chanzhicms.com" ServerName www.chanzhicms.com:443 ServerAlias www.chanzhicms.com ErrorLog "/data/wwwlogs/www.chanzhicms.com_error_apache.log" ServerAdmin admin@linuxeye.com SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chanzhicms.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/www.chanzhicms.com/privkey.pem SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All Order allow,deny Allow from all DirectoryIndex index.html index.php Require all granted上面配置中的網(wǎng)站名稱、網(wǎng)站路徑、證書路徑等信息，大家根據(jù)自己的具體情況填寫。

注意：

這里必須要特別強調(diào)一點，因為我的Apache版本是2.4+的，在Directory中，一定要加上一條 Require all granted ，否側會出現(xiàn)網(wǎng)站HTTP訪問正常，但https訪問提示 403 forbidden。這條命令是apache2.4新增加的，用以替代allow,deny以及order指令。

最后， 重啟Apache！重啟Apache！重啟Apache！

使用https訪問網(wǎng)站，查看是否生效。

3.更新證書

證書快到期時，我在使用 certbot-auto renew 命令進行證書更新：

certbot-auto renew --no-self-upgrade成功后，檢查更新到期日期

./certbot-auto certificates證書到期之前會有郵件提醒，這里介紹修改新訂閱郵箱的方法：

./certbot-auto update_account --email 963370407@qq.com --no-self-upgrade

使用 crontab 自動續(xù)期證書

每隔兩三個月更新一次證書，萬一忘了怎么辦？有木有版本讓系統(tǒng)自動定期更新呢？當然可以，這里就需要用到 crontab 工具。

如果系統(tǒng)沒有 crontab ，則先安裝：

yum install vixie-cron crontabs //安裝Crontabchkconfig crond on //設為開機自啟動service crond start //啟動/var/spool/cron 這里是所有的自動執(zhí)行任務的 cron 文件存放位置（root文件）

在/var/spool/cron/root文件里添加:

30 20 1 * * /root/certbot-auto renew --no-self-upgrade即每月1號晚上8點半更新證書。

重啟服務生效：

service crond restart 查看crontab定時執(zhí)行任務列表

crontab -l

4.常見問題

1.升級HTTPS后，前臺界面樣式錯亂。

蟬知系統(tǒng)用戶升級https后，如果前臺界面樣式錯亂，可以嘗試在后臺--站點--網(wǎng)絡 中關閉 CDN 功能。

2.安裝證書時提示錯誤，無法對網(wǎng)站進行驗證。

這個問題折騰了半天，最后在stackoverflow上看到類似問題，有人提及跟cdn有關，因為我把域名都添加了百度CDN云加速，所以就把CDN去除試了下，沒想到問題真的解決了。這里也記一下，或許對大家有幫助。

3.網(wǎng)站http://訪問正常，但https://訪問提示 403 forbidden。

因為我的Apache版本是2.4+的，在Directory中，一定要加上一條 Require all granted ，否側會出現(xiàn)網(wǎng)站HTTP訪問正常，但https訪問提示 403 forbidden。這條命令是apache2.4新增加的，用以替代allow,deny以及order指令。

4.更新SSL證書時卡住在Installing Python packages...不動。

證書只能免費試用3個月，后期更新ssl證書時出現(xiàn)了問題，卡在Installing Python packages不動，如下圖：




我用的是阿里云的ECS服務器centos6.5 x64。解決這個問題只需要修改下pip.conf文件，將阿里云的鏡像改為清華的鏡即可。方法如下：

vim ~/.pip/pip.conf[global]index-url=https://pypi.tuna.tsinghua.edu.cn/simple/[install]trusted-host=pypi.tuna.tsinghua.edu.cn改保存后，再試試 ./certbot-auto renew --no-self-upgrade 就正常了。

5.更新證書時，提示錯誤 The manual plugin is not working。

更新證書時，如果提示如下錯誤：

Attempting to renew cert (www.chanzhicms.com) from /etc/letsencrypt/renewal/www.chanzhicms.com.conf produced an unexpected error: The manual plugin is not working; there may be problems with your existing configuration.The error was: PluginError('An authentication script must be provided with --manual-auth-hook when using the manual plugin non-interactively.',). Skipping.All renewal attempts failed. The following certs could not be renewed: /etc/letsencrypt/live/www.chanzhicms.com/fullchain.pem (failure)解決方法：

創(chuàng)建手動授權腳本，輸入如下命令

vim /etc/letsencrypt/renewal/www.chanzhicms.com.sh#!/bin/bashecho $CERTBOT_VALIDATION > /path/to/wwwroot/.well-known/acme-challenge/$CERTBOT_TOKEN其中，/path/to/wwwroot/ 為您域名驗證的網(wǎng)站根目錄

使腳本可執(zhí)行：

chmod +x /etc/letsencrypt/renewal/www.chanzhicms.com.sh帶參數(shù)執(zhí)行命令

certbot-auto renew --no-self-upgrade --manual-auth-hook /etc/letsencrypt/renewal/www.chanzhicms.com.sh成功后，檢查更新到期日期

./certbot-auto certificates --no-self-upgrade

小結：

網(wǎng)站升級https其實并不復雜，只是一些細節(jié)問題上可能會因環(huán)境而異，所以不要盲目地仿照他人操作流程，一定要先看服務器環(huán)境。其次，因為https使用443端口，所以服務器防火墻要放開443端口訪問，我用的阿里云服務器，還會涉及到安全策略設置，所以在操作時，注意檢查端口是否監(jiān)聽。

如果大家在部署https訪問網(wǎng)站時遇到其他問題，歡迎留言反饋，我們共同學習交流。