2015年的时候，iOS9需要适配ATS。那是第一次接触HTTPS。后来，公司网站需要HTTPS，找了一篇教程搭建了一次。最近，HTTPS证书更新，于是找出了以前的笔记，重新整了一遍，发出来。

需要说明的是，我们这HTTPS签名的是Let’s Encrypt，它是一家免费、自动化、开放的证书颁发机构（CA）。

基本步骤如下：

1、首先，克隆项目

sudo git clone https://github.com/diafygi/acme-tiny.git
cd acme-tiny

2、创建私钥

openssl genrsa 4096 > account.key
# 创建域名私钥
openssl genrsa 4096 > domain.key

3、创建请求证书

若是单个域名，则使用下面命令：

#单个域名
openssl req -new -sha256 -key domain.key -subj "/CN=yoursite.com" > domain.csr

若是多个域名，则先创建一个配置文件，例如test.conf，配置内容示例如下：

[ req ]
distinguished_name  = req_distinguished_name
req_extensions     = req_ext

[ req_distinguished_name ]
commonName_default = xx（常用名称）
commonName_max        = 64
organizationName_default = 公司名字
organizationalUnitName_default  = xxx
localityName_default  = Beijing
stateOrProvinceName_default = Beijing
countryName_default   = CN

[ req_ext ]
subjectAltName          = @alt_names

[alt_names]
DNS.1   = admin.liuchungui.com
DNS.2   = test.liuchungui.com

上面有很多字段没有填写，可以自行补齐。运行下面命令生成请求证书：

openssl req -new -sha512 -nodes -key domain.key -out domain.csr -config test.conf -batch -subj "/"

需要说明的是，多域名使用批量生成请求证书，请求证书签名验证的时候，会一个一个域名进行验证。

4、创建网站服务器challenge，用来进行验证

这里，和免费 HTTPS 证书 Let’s Encrypt 初体验的内容一样。

Let’s Encrypt 要求你必须证明签名的域名是属于你的，所以需要在服务器上验证一些文件。脚本会帮你生成这些文件到你指定的文件夹中，我们要做的就是确保 .well-known/acme-challenge/（验证的时候会访问 yourdomian.com/.well-known/acme-challenge/） url 对应的是这个文件夹。提示：默认是发送 http 请求到 80 端口，所以最好是用 HTTP 服务（重定向到 HTTPS 也是可以的）。

首先，创建challenge目录

mkdir -p /var/www/challenges/

然后，配置nginx

#example for nginx
server {
    listen 80;
    server_name a.yoursite.com b.yoursite.com;

    location /.well-known/acme-challenge/ {
        alias /var/www/challenges/;
        try_files $uri =404;
    }
}

最后，进行验证

echo 123123 > /var/www/challenges/test.txt && curl http://yourdomian.com/.well-known/acme-challenge/test.txt

5、签名验证

python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /var/www/challenges/ > ./signed.crt

6、安装证书

安装证书前，需要将Let’s Encrypt 中间证书加到证书中

wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem

7、验证证书一致性

root@iZ238n5r3z9Z:~/acme-tiny# openssl x509 -noout -modulus -in chained.pem | openssl md5
(stdin)= 92be1484c4605ffc1c8965afe50c4650
root@iZ238n5r3z9Z:~/acme-tiny# openssl rsa -noout -modulus  -in domain.key | openssl md5
(stdin)= 92be1484c4605ffc1c8965afe50c4650

上面输出的md5一样，则说明证书一致了。

8、ngnix配置

server {
        listen       443;
        server_name  a.yourdomian.com;
        #charset koi8-r;#access_log  logs/host.access.log  main;ssl                  on;

        ssl_certificate      /root/acme-tiny/chained.pem;
        ssl_certificate_key  /root/acme-tiny/domain.key;

        ssl_session_timeout  5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA;
            ssl_session_cache shared:SSL:50m;
            ssl_prefer_server_ciphers on;
        #other config
}

遇到问题

1、生成请求证书的时候，碰到了140220875978400:error:04075070:rsa routines:RSA_sign:digest too big for rsa key问题。

后来在我的mac电脑上试了下，发现没有问题。看了下服务器的openssl版本，是1.0.1f，而我本地mac电脑的openssl版本是1.0.2l，于是，将服务器的openssl升级到1.0.2l就可以了。

升级openssl 1.0.2l步骤如下：

wget http://www.openssl.org/source/openssl-1.0.2l.tar.gz  
tar zxvf openssl-1.0.2l.tar.gz  
cd openssl-1.0.2l
./config --prefix=/usr/local/openssl  
make && make install  
mv /usr/bin/openssl /usr/bin/openssl.old
mv /usr/include/openssl /usr/include/openssl.old
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl  
ln -s /usr/local/openssl/include/openssl /usr/include/openssl  
echo "/usr/local/openssl/lib">>/etc/ld.so.conf  
ldconfig -v  
openssl version -a

2、签名时报错，遇到下面错误:

Traceback (most recent call last):
  File "acme_tiny.py", line 198, in <module>
    main(sys.argv[1:])
  File "acme_tiny.py", line 194, in main
    signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca)
  File "acme_tiny.py", line 92, in get_crt
    raise ValueError("Error registering: {0} {1}".format(code, result))
ValueError: Error registering: 400 {
  "type": "urn:acme:error:malformed",
  "detail": "Provided agreement URL [https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf] does not match current agreement URL [https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf]",
  "status": 400
}

解决方法：更新acme-tiny.git仓库代码就行了。

git pull origin master

参考

免费 HTTPS 证书 Let’s Encrypt 初体验

nginx reload报错SSL: error:0B080074:x509

CentOS升级openssl版本至openssl-1.0.2详细操作