Halo使用Acme完美http升级https

Halo使用Acme完美http升级https

Scroll Down

我的Halo博客开始没注意升级https,后来想升级感觉好麻烦,下面是我找到的免费最简单办法,没有之一!你要是买证书了,就当作我没说过!

1.安装acme

安装acme.sh很简单,一个命令即可:

curl https://get.acme.sh | sh

这个下载很快的!

普通用户和 root 用户都可以安装使用。安装过程进行了以下几步:

1.1 把acme.sh安装到你的home目录下:

~/.acme.sh/

并创建 一个 bash 的 alias,方便你使用:

alias acme.sh=~/.acme.sh/acme.sh

相当创建一个快捷的环境变量。

1.2 自动为你创建 cronjob

每天 0:00 点自动检测所有的证书。如果快过期了,需要更新,则会自动更新证书,安装过程不会污染已有的系统任何功能和文件,所有的修改都限制在安装目录中: ~/.acme.sh/

2.生成证书

acme.sh 实现了 acme 协议支持的所有验证协议, 一般有两种方式验证:http 和 dns 验证。

具体的可以参照下面地址:ACME一个脚本就把系统升级到https了,且永久免费!

我的的是nginx服务器,acme.sh可以智能的从 nginx的配置中自动完成验证,你不需要指定网站根目录:

acme.sh --issue -d mydomain.com --nginx

3.安装证书

前面证书生成以后,接下来需要把证书复制到真正需要用它的地方。

注意:默认生成的证书都放在安装目录下:~/.acme.sh/,请不要直接使用此目录下的文件。例如,不要直接让 nginx/apache 的配置文件使用这下面的文件。这里面的文件都是内部使用,而且目录结构可能会变化。

正确的使用方法是使用 --installcert 命令,并指定目标位置,然后证书文件会被copy到相应的位置,例如:

acme.sh --installcert -d zabbx.cn \
--key-file /www/wwwroot/zabbx.cn/Nginx/zabbx.cn.key \
--fullchain-file /www/wwwroot/zabbx.cn/Nginx/fullchain.cer \
--reloadcmd "service nginx force-reload"

提醒,这里用的是 service nginx force-reload,不是 service nginx reload,据测试, reload并不会重新加载证书,所以用的 force-reload。这句话是官网的!!!

我自己测试使用centos7.7 nginx版本1.16,使用的话是没有force-reload 参数的,因此使用

sudo service nginx reload

我的nginx是用宝塔linux搭建的因此,路径是 /www/wwwroot/zabbx.cn/Nginx/ ,这个文件夹就是个存放证书的地方。想放哪放哪!主要是为了证书可以自动更新!!! 不要手动复制,除非你60天自己手动复制一次!!!

更新证书

目前证书在 60 天以后会自动更新,你无需任何操作。今后有可能会缩短这个时间,不过都是自动的,你不用关心。

4.配置nginx

上面都干完了,就把下面的nginx文件修改一下,同时注意运维平台和服务器控制台把443端口打开!

server
{
    listen 80;
    listen 443 ssl;
    server_name zabbx.cn www.zabbx.cn;
    index index.php index.html index.htm default.php default.htm default.html;
    root /www/wwwroot/zabbx.cn;
    
    
    ssl_certificate      /www/wwwroot/zabbx.cn/Nginx/fullchain.cer;
    ssl_certificate_key  /www/wwwroot/zabbx.cn/Nginx/zabbx.cn.key;
#此处要修改为你自己的文件地址
    ssl_session_cache    shared:SSL:1m;
    ssl_session_timeout  5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;
    
    location / {
        proxy_set_header HOST $host;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass http://127.0.0.1:8090/;
    }
    location ~ .*\.(js|css|jpg|jpeg|gif|png|ico|pdf|txt)$ {
        proxy_pass http://127.0.0.1:8090;
         
    }   

    #SSL-START SSL相关配置,请勿删除或修改下一行带注释的404规则
    #error_page 404/404.html;
    #SSL-END
	#Directory protection rules, do not manually delete
	include /www/server/panel/vhost/nginx/dir_auth/zabbx.cn/*.conf;
    
    #ERROR-PAGE-START  错误页配置,可以注释、删除或修改
    #error_page 404 /404.html;
    #error_page 502 /502.html;
    #ERROR-PAGE-END
    
    #PHP-INFO-START  PHP引用配置,可以注释或修改
    include enable-php-00.conf;
    #PHP-INFO-END
    
    #REWRITE-START URL重写规则引用,修改后将导致面板设置的伪静态规则失效
    include /www/server/panel/vhost/rewrite/zabbx.cn.conf;
    #REWRITE-END
    
    #禁止访问的文件或目录
    location ~ ^/(\.user.ini|\.htaccess|\.git|\.svn|\.project|LICENSE|README.md)
    {
        return 404;
    }
    
    #一键申请SSL证书验证目录相关设置
    location ~ \.well-known{
        allow all;
    }
    
    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
    {
        expires      30d;
        error_log off;
        access_log /dev/null;
    }
    
    location ~ .*\.(js|css)?$
    {
        expires      12h;
        error_log off;
        access_log /dev/null; 
    }
    access_log  /www/wwwlogs/zabbx.cn.log;
    error_log  /www/wwwlogs/zabbx.cn.error.log;
}

然后访问大工告成!

illust_77778785_20191119_084754.jpg