Apache配置Let’s Encrypt免费SSL证书

Apache

Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上，由于其跨平台和安全性被广泛使用，是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充，将Perl/Python等解释器编译到服务器中。

Let’s Encrypt

Let’s Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用，是由网络公益组织ISRG（Mozilla、Cisco、Akamai、IdenTrust、EFF等）组织人员发起，主要的目的也是为了推进网站从HTTP向HTTPS过度的进程，目前已经有越来越多的商家加入和赞助支持。

在部署证书之前，先要做好准备工作，首先是获取Let’s Encrypt免费证书，第二是在Apache服务器上部署SSL证书。

第一，通常获取证书都是需要自主生成的CSR发送给CA机构，下面介绍另一种方法。利用脚本快速获取Let’s Encrypt SSL证书，调用 acme_tiny.py 认证、获取、更新证书，不需要额外的依赖。

1、项目主页：https://github.com/xdtianyu/s/tree/master/lets-encrypt

2、下载到本地：

wget https://raw.githubusercontent.com/xdtianyu/s/master/lets-encrypt/letsencrypt.conf
wget https://raw.githubusercontent.com/xdtianyu/s/master/lets-encrypt/letsencrypt.sh
chmod +x letsencrypt.sh

Let’s Encrypt下载脚本

3、配置文件。只需要修改 DOMAIN_KEY DOMAIN_DIR DOMAINS 为你自己的信息

ACCOUNT_KEY=”letsencrypt-account.key”
DOMAIN_KEY=”podipod.com.key”
DOMAIN_DIR=”/var/www/podipod.com”
DOMAINS=”DNS:podipod.com,DNS:www.podipod.com”

4、本脚本在Debian下运行正常，但是如果你使用的是CentOS，你还需要修改letsencrypt.sh中openssl.cnf的位置，先找到你的CentOS的openssl.cnf位置。然后打开letsencrypt.sh，将路径/etc/ssl/openssl.cnf替换为你的新路径，例如/etc/pki/tls/openssl.cnf。

PS：20151214更新，该脚本已经更新，现在不需要对CentOS的openssl.cnf进行修改了。感谢ty博主的提醒。

Let’s Encrypt配置脚本

5、执行过程中会自动生成需要的 key 文件。运行：

./letsencrypt.sh letsencrypt.conf

6、注意需要已经绑定域名到 /var/www/www.podipod.com 目录，即通过 http://podipod.com https://www.podipod.com 可以访问到 /var/www/podipod.com目录，用于域名的验证。

Let’s Encrypt生成证书

7、正常按照上面的操作即可成功获取到Let’s Encrypt SSL证书，不过经过部落测试最大的问题就是“DNS query timed out”，由于域名DNS解析的问题导致无法验证域名从而获取SSL证书不成功。

Traceback (most recent call last):
File “/tmp/acme_tiny.py”, line 198, in
main(sys.argv[1:])
File “/tmp/acme_tiny.py”, line 194, in main
signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca)
File “/tmp/acme_tiny.py”, line 149, in get_crt
domain, challenge_status))
ValueError: hkh.podipod.com.info challenge did not pass: {u’status’: u’invalid’, u’validationRecord’: [{u’url’: u’http://hkh.podipod.com.info/.well-known/acme-challenge/sikHlqvbN4MrWkScgr1oZ9RX-lR1l__Z7FWVLhlYR0Q’, u’hostname’: u’hkh.podipod.com.info’, u’addressUsed’: u”, u’port’: u’80’, u’addressesResolved’: None}], u’https://acme-v01.api.letsencrypt.org/acme/challenge/5m1su6O5MmJYlGzCJnEUAnvhweAJwECBhEcvsQi5B2Q/1408863′, u’token’: u’sikHlqvbN4MrWkScgr1oZ9RX-lR1l__Z7FWVLhlYR0Q’, u’error’: {u’type’: u’urn:acme:error:connection’, u’detail’: u’DNS query timed out’}, u’type’: u’http-01′}

8、经过对比发现，国内的DNSPOD、阿里云DNS、CloudXNS等都会出现Let’s Encrypt 验证域名超时的情况，国外的Namecheap DNS、Linode DNS、Domain.com DNS等都是没有问题。

第二、如何在Apache配置Let’s Encrypt免费SSL证书

1、首先，我们需要对Apache的配置进行修改，打开 /usr/local/apache/conf/httpd.conf ，查找httpd-ssl将前面的#去掉，然后执行命令（注意将路径换你自己的）：

cat >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache “shmcb:/usr/local/apache/logs/ssl_scache(512000)”
SSLSessionCacheTimeout 300
SSLMutex “file:/usr/local/apache/logs/ssl_mutex”
EOF

2、接着，在你创建的网站的Apache配置的最后</VirtualHost>下面添加上SSL部分的配置文件：

<VirtualHost *:443>
DocumentRoot /home/wwwroot/www.podipod.com //网站目录
ServerName www.podipod.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog “/home/wwwlogs/www.podipod.com-error_log” //错误日志
CustomLog “/home/wwwlogs/www.podipod.com-access_log” common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.podipod.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.podipod.com/privkey.pem //之前生成的密钥
<Directory “/home/wwwroot/www.podipod.com”> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
Order allow,deny
Allow from all
DirectoryIndex index.html index.php
</Directory>
</VirtualHost>

3、最后就是重启Apache，然后打开浏览器就可以看到SSL证书配置成功了。

完成上述步骤，即可完成Let’s Encrypt免费SSL证书部署。