签发 Let's Encrypt ECC 证书

UPDATE: 请查看 acme.sh - 极力推荐的 Let's Encrypt 工具 这篇博文。

在 Let's Encrypt 证书申请实测 这篇博文里，我们签到了 RSA 2048 位证书。不过听闻 Let's Encrypt 从二月开始就支持签发 ECC 证书了，于是乎赶紧签一个。相比 RSA，ECC 证书在相似安全性的同时体积大幅减小。如果想要进一步了解的，Digicert 的 这篇文章 有一个大概的介绍，可以去阅读一下。

首先新建一个文件夹，装各种产出的东西。

mkdir keys
cd keys

配置账号私钥

签 ECC 证书的话，还是用 acme-tiny 好些。这次换了新的 VPS，也不想再去装官方那全家桶了。因为我上次已经用官方工具签过了证书，所以已经有自己的账号私钥了。官方客户端使用的是 JWK 格式，所以要转换一下账号私钥到 PEM 格式：

wget -O - "https://gist.githubusercontent.com/JonLundy/f25c99ee0770e19dc595/raw/6035c1c8938fae85810de6aad1ecf6e2db663e26/conv.py" > conv.py
cp /etc/letsencrypt/accounts/acme-v01.api.letsencrypt.org/directory/<id>/private_key.json private_key.json
openssl asn1parse -noout -out private_key.der -genconf <(python conv.py private_key.json)
openssl rsa -in private_key.der -inform der > account.key

如果第一次签，直接 openssl genrsa 4096 > account.key 就好了，不需要转换。

创建 CSR

创建域名私钥，这个要保护好：

openssl ecparam -genkey -name secp384r1 | openssl ec -out domain.key

生成证书签名请求（CSR）文件，Common Name 要填写域名地址，其他的默认就好了：

openssl req -new -sha256 -key domain.key -out domain.csr

为 Nginx 添加验证

Let's Encrypt 会在域名下随机生成一个文件验证是否拥有域名。如果能够正常下载则验证通过。因此要配置文件服务器。
创建验证用的文件夹：

mkdir -p /var/www/challenges/

打开 Nginx 配置文件，添加如下字段：

server {
    listen 80;
    server_name yoursite.com www.yoursite.com;

    location /.well-known/acme-challenge/ {
        alias /var/www/challenges/;
        try_files $uri =404;
    }

    #...the rest of your config
}

获取证书

首先下载 acme-tiny：

wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py

然后就可以签证书啦

python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /var/www/challenges/ > ./signed.crt

使用证书

首先先下载 Let's Encrypt 的中间证书，并和你的证书串到一起：

wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem

打开你的 Nginx 配置文件，把 ssl_certificate 和 ssl_certificate_key 指向的证书地址修改掉，比如说我的：

server {
    listen 443 ssl http2;
    server_name niconiconi.xyz;

    ssl_certificate /var/www/keys/niconiconi.xyz/chained.pem;
    ssl_certificate_key /var/www/keys/niconiconi.xyz/domain.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
    ssl_dhparam /etc/ssl/certs/dhparam.pem;

    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /var/www/keys/niconiconi.xyz/chained.pem;

    add_header Strict-Transport-Security "max-age=10886400; includeSubdomains; preload";

    ssl_ct on;
    ssl_ct_static_scts /var/www/scts;

    location / {
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   Host      $http_host;
        proxy_pass         http://127.0.0.1:2368;
    }
}

重启 Nginx:

sudo service nginx restart

好了，按理说应该可以用上新的证书了。比如这样的：

题外话

如果之前配置了 Certificate Transparency，更新证书就意味着要再获取一遍 SCT 文件。不过这并不麻烦，照着 这篇博文 做一遍就行了，两分钟搞定。