【问题标题】:Error on Let's encrypt auto renewal (Nginx)让我们加密自动续订(Nginx)出错
【发布时间】:2018-08-15 18:11:02
【问题描述】:

我正在尝试设置greenlock-express 在 nginx 代理后面运行。

这是我的 nginx 配置

...
# redirect
server {
    listen 80;
    listen [::]:80;
    server_name mydomain.com;

    location / {
        return 301 https://$server_name$request_uri;
    }
}

# serve
server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name mydomain.com;

    # SSL settings
    ssl on;
    ssl_certificate C:/path/to/mydomain.com/fullchain.pem;
    ssl_certificate_key C:/path/to/mydomain.com/privkey.pem;

    # enable session resumption to improve https performance
    ssl_session_cache shared:SSL:50m;
    ssl_session_timeout 1d;
    ssl_session_tickets off;

    # enables server-side protection from BEAST attacks
    ssl_prefer_server_ciphers on;
    # disable SSLv3(enabled by default since nginx 0.8.19) since it's less secure then TLS
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    # ciphers chosen for forward secrecy and compatibility
    ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';

    # enable OCSP stapling (mechanism by which a site can convey certificate revocation information to visitors in a privacy-preserving, scalable manner)
    resolver 8.8.8.8 8.8.4.4;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate C:/path/to/mydomain.com/chain.pem;

    # config to enable HSTS(HTTP Strict Transport Security) https://developer.mozilla.org/en-US/docs/Security/HTTP_Strict_Transport_Security
    add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload";

    # added to make handshake take less resources
    keepalive_timeout 70;

    location / {
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_set_header X-NginX-Proxy true;
        proxy_pass https://127.0.0.1:3001/;
        proxy_redirect off;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }
}
...

我有节点服务器在端口 3000 (http) 和端口 3001 (https) 上运行。其他一切似乎都在工作,但证书不会更新并在 3 个月后过期。

如果我关闭 nginx 并在端口 80 (http) 和端口 443 (https) 上运行节点服务器,那么它会更新证书。

我确保 .well-known/acme-challenge 被转发到节点服务器,即当我转到 url http(s)://mydomain.com/.well-known/acme-challenge/randomstr 时,我得到以下响应:

{ 
  "error": { 
    "message": "Error: These aren't the tokens you're looking for. Move along." 
  } 
}

【问题讨论】:

    标签: javascript node.js ssl nginx greenlock


    【解决方案1】:

    为 ACME 身份验证分离 webroot 的简单方法。

    为 ACME 身份验证创建一个 webroot 目录。

    C:\www\letsencrypt\.well-known
    

    在 nginx 配置中,将 ACME 认证的 webroot 设置为之前创建的目录。

    http://example.com/.well-known/acme-challenge/token -> C:/www/letsencrypt/.well-known/acme-challenge/token

    server {
        listen 80;
        listen [::]:80;
        server_name mydomain.com;
    
        location ^~ /.well-known/acme-challenge/ {
            default_type "text/plain";
            root C:/www/letsencrypt;
        }
    
        location / {
            return 301 https://$server_name$request_uri;
        }
    }
    

    重启 nginx。

    您可以在 certbot 中更改您的 webroot 以再次获得身份验证。

    certbot certonly --webroot -w C:\www\letsencrypt\ -d exapmle.com --dry-run
    

    首先,通过添加--dry-run 选项对其进行测试。否则,您可能会遇到限制身份验证尝试次数的问题。

    【讨论】:

      【解决方案2】:

      你看到的错误是当一个令牌被放置在你的

      webroot/.well-known/acme-challenge/token

      然后 Let's Encrypt 尝试通过互联网验证这一点。去http://yourdomain/.well-known/acme-challenge/token 它得到一个 404 错误 - 找不到页面。究竟为什么它得到一个 404 我不能确定。如果您自己将文件放在那里,是否可以通过互联网访问?

      如果您想知道有几种自动更新 SSL 的方法,而无需重新启动 nginx。大多数 nginx 用户似乎更喜欢的一个是 webroot 插件:首先,使用以下内容获取新证书:

      certbot certonly --webroot -w /path/to/your/webroot -d example.com --post-hook="service nginx reload"
      

      然后设置一个cron作业,每天运行certbotrenew一两次;它只会在实际更新证书时运行后挂钩。如果您希望停止 nginx 以在独立模式下运行 certbot,也可以使用 --pre-hook 标志。

      还有一个完整的 nginx 插件,您可以使用--nginx 激活它。它仍在测试中,因此请自行承担试验风险并报告任何错误。

      注意: post-hookFlag 将负责重新加载您的证书的 nginx 上传更新

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2018-08-30
        • 2018-04-12
        • 2020-06-29
        • 1970-01-01
        • 2016-08-10
        • 1970-01-01
        相关资源
        最近更新 更多