如何使用 Let's Encrypt 在 Nginx 上创建受 SSL 保护的反向代理？

Question

我有一个适用于 Node.js 的 RestAPI，它通过 Nginx 代理，配置如下（私有部分已被隐藏）：

   server {

    listen 80;
    server_name mywebsitestuff.com www.mywebsitestuff.com;

    location / {
        proxy_pass http://serverip:25000;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
        proxy_cache_bypass $http_upgrade;
    }
}

我希望此 API 与 Let's Encrypt SSL 证书一起使用，我该怎么做？
谢谢

Answer 1

1.使用 Let's encrypt 为您的域 mywebsitestuff.com www.mywebsitestuff.com 签署证书

链接：Getting Started - Let's Encrypt

2. 像这样配置服务器块

listen 443;
server_name   mywebsitestuff.com;

ssl on;
ssl_certificate     /etc/letsencrypt/live/mywebsitestuff.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/mywebsitestuff.com/privkey.pem;
ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;

您可能需要为您的域签署两个证书，包括 www 和 w/o，然后将它们配置在两个单独的服务器块中，因为它们使用两个不同的证书。

更新：

看起来 Let's Encrypt 将访问/.well-known/acme-challenge/ 进行域身份验证。

添加位置以避免像这样反向代理此请求

location /.well-known/acme-challenge/ {
    root /some/path/;
}

然后你可以继续使用类似命令的 webroot 插件

./path/to/certbot-auto certonly --webroot -w /some/path -d mywebsitestuff.com -d www.mywebsitestuff.com

确保/some/path存在并且你可以写而nginx可以读。