Debian 2024-01-05 12 阅读

使用 Certbot 向 Let's Encrypt 免费申请及自动部署 HTTPS 证书

SSL证书 Certbot

HTTP 报文是以明文形式传输的,会被各种浏览器标记为不安全。

HTTPS 则提供了一个加密传输的通道,相比较更为安全可靠。但专业的证书要钱,不过有个免费的Let's Encrypt,使用 Certbot 方便快捷,记录下大致的过程。

1. 安装必要工具

sudo apt update
# Certbot 是 Let's Encrypt 提供的证书管理工具
sudo apt install certbot
# python3-certbot-nginx 是专门针对 Nginx 的插件,其可以自动修改 Nginx 配置文件 
sudo apt install python3-certbot-nginx

2. 获取并安装证书

# 如果多个域名,可以执行多次,或直接在后面增加 -d 域名,但会被归属到第一个 -d 的域名中,实际不影响任何安全
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

# 执行上述语句后,会有交互确认:
# 1. 邮箱输入:输入你的邮箱用于过期提醒。
# 2. 服务条款:同意即可。Y
# 3. 重定向 HTTP 到 HTTPS:Certbot 会询问是否将 HTTP 流量重定向到 HTTPS。 选择 2 (Redirect) 或 Yes(强烈推荐)。这会让 Nginx 自动把所有 http:// 请求转为 https://

# 执行成功后,Certbot 会在 /etc/letsencrypt/live/yourdomain.com/ 下生成相应的证书文件,并自动修改 Nginx 配置文件,添加 SSL 监听端口和证书路径。
# 可自行查看 Nginx 相关配置文件并确认重载。

3. 查看所有证书

sudo certbot certificates

# 一般会显示证书名称、域名信息、过期时间、证书路径等信息
# Saving debug log to /var/log/letsencrypt/letsencrypt.log
# 
# - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
# Found the following certs:
#   Certificate Name: yourdomain.com
#     Domains: yourdomain.com www.yourdomain.com
#     Expiry Date: 2024-01-05 12:00:00+00:00 (VALID: 89 days)
#     Certificate Path: /etc/letsencrypt/live/yourdomain.com/fullchain.pem
#     Private Key Path: /etc/letsencrypt/live/yourdomain.com/privkey.pem
#   Certificate Name: another-domain.com
#     Domains: another-domain.com
#     Expiry Date: 2024-01-05 08:30:00+00:00 (VALID: 64 days)
#     Certificate Path: /etc/letsencrypt/live/another-domain.com/fullchain.pem
#     Private Key Path: /etc/letsencrypt/live/another-domain.com/privkey.pem
# - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

4. 测试自动续期

# Let's Encrypt 证书有效期为 90 天。
sudo certbot renew --dry-run
# 如果输出显示 "Congratulations, all renewals succeeded",则自动续期配置正常。

5. 删除证书

# 推荐,交互式删除,根据列出的信息,选择需要删除的证书即可。
sudo certbot delete

6. Django 安全强化配置(参考)

# settings.py

# 强制所有请求使用 HTTPS
SECURE_SSL_REDIRECT = True

# 如果 Django 运行在反向代理(如 Nginx)后面,需要信任代理的 Header
# 否则 Django 无法识别请求原本是 HTTP 还是 HTTPS
SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTO', 'https')

# 设置 HSTS (HTTP Strict Transport Security),增强安全性
# 单位是秒,例如 31536000 表示一年
SECURE_HSTS_SECONDS = 31536000
SECURE_HSTS_INCLUDE_SUBDOMAINS = True
SECURE_HSTS_PRELOAD = True

# 确保 Session ID 和 CSRF Token 只在 HTTPS 下传输
SESSION_COOKIE_SECURE = True
CSRF_COOKIE_SECURE = True

# 防止 JavaScript 访问 Cookie (防 XSS)
SESSION_COOKIE_HTTPONLY = True
CSRF_COOKIE_HTTPONLY = True