这篇文章介绍一种免费申请CA证书的方式,而且是通配符域名哦。首先介绍一下证书颁发机构的背景。

其他资源

Let’s Encrypt

Let’s Encrypt是一个于2015年三季度推出的数字证书认证机构,旨在以自动化流程消除手动创建和安装证书的复杂流程,并推广使万维网服务器的加密连接无所不在,为安全网站提供免费的SSL/TLS证书。Let’s Encrypt由互联网安全研究小组(缩写ISRG)提供服务。主要赞助商包括电子前哨基金会、Mozilla基金会、Akamai以及思科。2015年4月9日,ISRG与Linux基金会宣布合作。用以实现新的数字证书认证机构的协议被称为自动证书管理环境(ACME)。GitHub上有这一规范的草案,且提案的一个版本已作为一个Internet草案发布。

Let’s Encrypt宣称这一过程将十分简单、自动化并且免费。

  • 2015年8月7日,该服务更新其推出计划,预计将在2015年9月7日发布首个证书,随后向列入白名单的域名发行少量证书并逐渐扩大发行量。

  • 2015年12月3日,服务进入公测阶段,正式面向公众。

  • 2016年3月8日,ISRG宣布已经签发了第一百万张证书。

  • 2016年4月12日,该项目正式离开Beta阶段。

  • 2017年6月28日,ISRG宣布,他们已经签发了一亿张证书。

技术

2015年6月,Let’s Encrypt得到了一个存储在硬件安全模块中的离线的RSA根证书。这个由IdenTrust证书签发机构交叉签名的根证书,被用于签署两个证书。其中一个就是用于签发请求的证书,另一个则是保存在本地的证书,这个证书用于在上一个证书出问题时作备份证书之用。因为IdenTrust的CA根证书目前已被预置于主流浏览器中,所以Let’s Encrypt签发的证书可以从项目开始时就被识别并接受,甚至在用户的浏览器中没有信任ISRG的根证书时也没问题。为了解决对Windows XP的兼容性,目前Let’s Encrypt已经获取了另外两个根证书,原来的证书作为备用。

Let’s Encrypt的开发者们本计划在2015年年末推出签发ECDSA根证书的服务,但该计划已经经历三次推迟,目前定于2018年3月前完成。

以上内容来自维基百科

证书申请

官网有整个教程,点击跳转。首先选择证书环境,不同选择的区别仅仅是证书编码和格式,一般可以互转,我们以Centos7上配置Nginx为例。
image.png

安装

Certbot的包装在EPEL(Enterprise Linux的额外软件包)中。要使用Certbot,必须首先启用EPEL存储库。在RHEL或Oracle Linux上,还必须启用可选通道。

如果在EC2上使用RHEL,则可以运行以下命令来启用可选通道:

$ yum -y install yum-utils
$ yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional

如果做完了这些,可以通过以下命令安装:

$ sudo yum install python2-certbot-nginx

Certbot的DNS插件也可用于你的系统,该插件可用于从Let’s Encrypt的ACMEv2服务器中自动获取通配符证书。要使用这些插件,必须为想要获得Certbot插件提供的DNS提供商的证书的域配置DNS。这些插件的列表和更多关于使用它们的信息可以点击这里找到。要安装其中一个插件,请运行上面的安装命令,但是要将python2-certbot-nginx替换为要安装的DNS插件的名称。

开始申请

Certbot有一个Nginx插件,它在许多平台上都受支持,并且安装了证书。

运行这个命令可以自动生成证书和Nginx的证书配置文件:

$ sudo certbot --nginx

如果希望手动配置Nginx,只需要生成证书,使用如下命令:

$ sudo certbot --nginx certonly

如果想使用Let’s Encrypt的新ACMEv2服务器获得通配符证书,则还需要使用Certbot的一个DNS插件。为此,请确保使用上述说明安装了DNS提供商的插件,然后运行如下所示的命令:

$ sudo certbot -a dns-plugin -i nginx -d "*.example.com" -d example.com --server https://acme-v02.api.letsencrypt.org/directory

需要用你想使用的DNS插件的名称替换dns-plugin。可能还需要提供其他标签,例如上面链接的DNS插件文档中所述的API凭据路径。配上一个我申请的命令:

$ certbot certonly  -d "*.yangqiang.im" --manual --preferred-challenges dns-01  --server https://acme-v02.api.letsencrypt.org/directory

命令执行过程中会出现以下内容,其中部分需要填写邮箱等信息:

Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel): yangqiang@yangqiang.im

-------------------------------------------------------------------------------
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
-------------------------------------------------------------------------------
(A)gree/(C)ancel: A

-------------------------------------------------------------------------------
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about EFF and
our work to encrypt the web, protect its users and defend digital rights.
-------------------------------------------------------------------------------
(Y)es/(N)o: Y
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for yangqiang.im

-------------------------------------------------------------------------------
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.

Are you OK with your IP being logged?
-------------------------------------------------------------------------------
(Y)es/(N)o: Y

在过程中注意以下信息,这些信息需要你按照下面的信息配置TXT的域名解析,证明这个域名是你有权限操作的:

Please deploy a DNS TXT record under the name
_acme-challenge.yangqiang.im with the following value:

eHihXZhJUid9mLFTdU17sk223Klksdkl223k23

Before continuing, verify the record is deployed.
-------------------------------------------------------------------------------
Press Enter to Continue

如果成功,用_acme-challenge.yangqiang.im访问,应该显示:eHihXZhJUid9mLFTdU17sk223Klksdkl223k23

点击回车就会开始验证,如果证书申请成功回显示如下信息:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/yangqiang.im/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/yangqiang.im/privkey.pem
   Your cert will expire on 2018-08-30. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

现在在目录中应该有证书文件了:

[root@hp certbot]# ls /etc/letsencrypt/live/yangqiang.im/
cert.pem  chain.pem  fullchain.pem  privkey.pem  README

自动续期

因为证书的有效期只有90天,所以我们需要通过以下方式来续期。

可以通过以下命令来测试自动续期功能是否正常:

$ sudo certbot renew --dry-run

如果正常,我们可以通过系统的cron任务来定时执行续期命令:

$ certbot renew

注意:
如果使用cron任务等定时执行的方式,推荐每天执行两次(除非你的证书需要续约或撤销,否则它不会执行任何操作,但是如果由于某种原因发生了加密发起的撤销,则定期运行它会让你的网站有机会一直保持在线状态)。请在一小时内为你的续订任务选择一个随机分钟。

一个cron任务的例子可能是这样的,它会在每天的23:00和早上7:00运行:

0 23,7 * * * python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew

entos7中先使用crontab -e命令,这时候会打开一个vi编辑器。然后把cron任务命令保存进去,用wd保存退出。
推荐一个cron命令在线测试的工具:Cron表达式在线测试工具

更简单的方式

已经有人帮我们做了很多工作,感谢!我们可以通过一个脚本来更简单的生成和续期。

acme.sh

点击跳转到Github项目地址

安装

curl https://get.acme.sh | sh
或者
wget -O -  https://get.acme.sh | sh

创建证书

acme提供了很多种方式,我们以最简单的方式dns api的方式,官方教程连接。这里使用阿里云的域名为例。

  • 阿里云创建RAM账号,账号具有域名管理权限。
  • 配置环境变量(账号信息是RAM的账号信息):
    export Ali_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
    export Ali_Secret="jlsdflanljkljlfdsaklkjflsa"
    
  • 创建
    acme.sh --issue --dns dns_ali -d example.com -d *.example.com
    

创建的过程种,acme会拿着账号信息去域名管理那里创建dns访问,会等待120秒,120秒过后会去验证是否配置成功,配置部分可以手动,只是比较麻烦,如果不想把账号信息给到acme就通过其他方式去创建就好了,验证成功后就会创建出来证书了,创建好的证书会给出目录,默认在~/.acme.sh/example.com/目录下。

注意:如果只是使用example.com.cer证书,部分情况下ios可以访问,Android不能访问,Android的证书必须带上中间证书,也就是证书内容是:fullchain.cer

续期

所有的证书都是60天后自动续期,不需要手动续期,acme会自动处理。也可以强制续期:

acme.sh --renew -d example.com --force

停止自动续期

acme.sh --remove -d example.com [--ecc]

证书文件不会从磁盘删除,可以手动删除:~/.acme.sh/example.com。从这里可以看出来,如果要自动续期,证书文件应该在这个默认目录才行,指定了目录的话应该在指定目录。

acme.sh更新

  • 更新
    acme.sh --upgrade
    
  • 配置自动更新
    acme.sh --upgrade --auto-upgrade
    
  • 关闭自动更新
    acme.sh --upgrade --auto-upgrade 0
    

证书相关工具

收集整理了一些证书工具。

这篇文章介绍如何搭建一个私有的Docker仓库,包括配置证书和密码认证。

安装

因为本身有docker环境,所以直接通过docker来安装。

下载

下载registry的docker镜像,点击查看官方镜像地址

$ docker pull registry # 这样会使用官方docker镜像库,或者配置在/etc/docker/domain.json中的镜像库。也可以像下面这样,直接指定下载库。
$ docker pull registry.docker-cn.com/library/registry

配置数据存储位置

配置存储位置/var/lib/registry,通过-v指定。

$ docker run -d \
  --restart=always \
  --name registry \
  -v data:/var/lib/registry \
  registry

这样就能够通过:localhost:5000来push自己的镜像了。

配置证书

生成证书

  • 如果你自己的域名已经有证书了,就下载下来会有两个文件:crtpem,然后合并成一个crt:
    $ cat domain.crt intermediate-certificates.pem > certs/domain.crt
    
  • 如果没有证书,可以自己通过openssl生成,注意master.mesos是自己的域名,我这里是因为mesosphere的主节点是这个域名,我就生成master.mesos对应的证书。
    $ openssl req -new -SHA256 -newkey rsa:2048 -nodes -keyout master.mesos.key -out master.mesos.csr -subj "/C=CN/ST=Sichuan/L=Chengdu/O=/OU=/CN=master.mesos"
    

生成好了就会在当前目录下面有两个文件:master.mesos.csrmaster.mesos.key,我们最终是需要crt格式的证书,通过下面的方式转换:

$ openssl x509 -days 3650 -req -in master.mesos.csr -signkey master.mesos.key -out domain.crt

现在在目录下面就是三个文件:master.mesos.csrmaster.mesos.keydomain.crtdomain.crt的有效期是3650天,如果不指定-days参数默认是一个月有效期。

使用证书

生成好了domain.crt后,通过以下方式使用证书:

$ docker run -d \
  --restart=always \
  --name registry \
  -v `pwd`/certs:/certs \
  -e REGISTRY_HTTP_ADDR=0.0.0.0:443 \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  -p 443:443 \
  registry

注意里面的证书目录,不能配置错了。现在就能够通过https访问仓库了。

密码认证

配置密码认证后,访问仓库必须通过输入用户名和密码才行。

创建密码文件

用户名是testuser,密码是testpassword

$ mkdir auth
$ docker run \
  --entrypoint htpasswd \
  registry:2 -Bbn testuser testpassword > auth/htpasswd

现在在当前目录下面会有一个auth目录,目录下面有一个密码文件:htpasswd,文件内容大概像这个:

[root@master auth]# cat htpasswd 
testuser:$2y$05$pQC8s2X7.k0/yrRr6ksdfsdfsdlkxlkjskld235Im

[root@master auth]#

使用密码

$ docker run -d \
  -p 5000:5000 \
  --restart=always \
  --name registry \
  -v `pwd`/auth:/auth \
  -e "REGISTRY_AUTH=htpasswd" \
  -e "REGISTRY_AUTH_HTPASSWD_REALM=Registry Realm" \
  -e REGISTRY_AUTH_HTPASSWD_PATH=/auth/htpasswd \
  -v `pwd`/certs:/certs \
  -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt \
  -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key \
  registry

这样使用docker仓库的时候就需要先登录:

$ docker login -u testuser -p testpassword localhost:5000

登录后就可以同之前一样推送和拉去镜像了。

通过docker-compose来启动

我比较喜欢使用docker-compose。完整的配置如下:

registry:
    restart: always
    container_name: registry
    image: registry.docker-cn.com/library/registry
    environment :
      TZ : 'Asia/Shanghai'
      REGISTRY_HTTP_TLS_KEY: /certs/domain.key
      REGISTRY_HTTP_TLS_CERTIFICATE: /certs/domain.crt
      REGISTRY_AUTH: htpasswd
      REGISTRY_AUTH_HTPASSWD_PATH: /auth/htpasswd
      REGISTRY_AUTH_HTPASSWD_REALM: Registry Realm
    volumes:
      - ./data/registry:/var/lib/registry
      - ./conf/registry/auth:/auth
      - ./conf/registry/certs:/certs
    ports:
      - 5000:5000 

docker-compose所在目录结构:

[root@master docker]# ls -al
总用量 12
drwxr-xr-x   5 root root   84 5月  30 11:00 .
dr-xr-x---. 15 root root 4096 5月  30 15:24 ..
drwxr-xr-x   4 root root   35 5月   8 17:52 conf
drwxr-xr-x   4 root root   35 5月   8 17:55 data
-rw-r--r--   1 root root  815 5月   9 11:26 docker-compose.yml

目录说明:

domain.crt放到./conf/registry/certs
htpasswd放到./conf/registry/certs
仓库数据在./data/registry目录中

问题

1. 如果出现x509: certificate signed by unknown authority

解决方案:

$ mkdir -p /etc/docker/certs.d/master.mesos:5000 # `master.mesos`是自己的域名
$ 通过scp等方式拷贝之前生成的`domain.crt`到/etc/docker/certs.d/master.mesos:5000/ca.crt

注意:这个不是把domain.crt放到仓库所在的机器上,而是在哪儿使用docker就应该在这台机器上配置这个证书。比如仓库在A服务器,我在B服务器使用,这个配置操作应该在B操作,同样如果在A上也要操作也需要这样做。

简单的使用

$ docker login -u testuser -p testpassword master.mesos:5000
$ docker tag xxxx master.mesos:5000/library/java:8 # xxxx是docker镜像,通过`docker images`查看
$ docker push master.mesos:5000/library/java:8
$ docker pull master.mesos:5000/library/java:8

docker tag这一步很重要,必须要是这种格式:master.mesos:5000(仓库地址)+ 其他。