rss.chenguiyi.cn 配置RSA和ECC双证书
1
|
curl https://get.acme.sh | sh
|
然后创建一个bash的alias,方便使用
1
|
alias acme.sh=~/.acme.sh/acme.sh
|
配置阿里云账号
我的域名是托管在阿里云上面的,使用dnsapi开直接生成更方便,以后就可以自动更新证书了,更多的dnsapi可以参考dnsapi
阿里云只需要创建一个带有AliyunDNSFullAccess权限的子用户
1
2
|
export Ali_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export Ali_Secret="jlsdflanljkljlfdsaklkjflsa"
|
RSA
1
|
acme.sh --issue --dns dns_ali -d *.chenguiyi.cn -d chenguiyi.cn
|
1
|
acme.sh --installcert -d "*.chenguiyi.cn" --key-file "/etc/nginx/ssl/*.chenguiyi.cn.key" --fullchain-file "/etc/nginx/ssl/*.chenguiyi.cn.cer" --reloadcmd "service nginx force-reload"
|
ECC
1
|
acme.sh --issue --dns dns_ali -d *.chenguiyi.cn -d chenguiyi.cn --keylength ec-256
|
1
|
acme.sh --installcert -d "*.chenguiyi.cn" --ecc --key-file "/etc/nginx/ssl/*.chenguiyi.cn.key" --fullchain-file "/etc/nginx/ssl/*.chenguiyi.cn.cer" --reloadcmd "service nginx force-reload"
|
Nginx配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
|
server {
listen 443 ssl;
gzip on;
server_name rss.chenguiyi.cn;
ssl_certificate /etc/nginx/ssl/*.chenguiyi.cn.cer;
ssl_certificate_key /etc/nginx/ssl/*.chenguiyi.cn.key;
ssl_certificate /etc/nginx/ssl/*.chenguiyi.cn_ecc.cer;
ssl_certificate_key /etc/nginx/ssl/*.chenguiyi.cn_ecc.key;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-CHACHA20-POLY1305:ECDHE+AES128:RSA+AES128:ECDHE+AES256:RSA+AES256:ECDHE+3DES:RSA+3DES;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
add_header Strict-Transport-Security "max-age=31536000";
access_log /var/log/nginx/ttrssdev_access.log combined;
error_log /var/log/nginx/ttrssdev_error.log;
location / {
proxy_pass http://ttrssdev;
}
|
重启一下nginx就完成了
SSL检测
myssl
