Let's Encrypt 的多证书申请及 NginX 配置
前言
无意翻到 Let's Encrypt (下称 LE )已支持 OCSP Must-Staple 扩展的消息,
再加上之前也想升级双证书 ,
于是又有了重新折腾一次的动力。
记录如下——
特别提示:
如果仅是希望使现有证书支持 OCSP Must-Staple ,
用原私钥重新生成 CSR 申请证书即可。
详见 CSR 一节。
准备
服务器环境
- CentOS/
7.2.x
NginX mainline from source
- OpenSSL/
1.0.2
stable from source: support HTTP/2 + ALPN - Cloudflare's SPDY patch: enable the use of SPDY along with HTTP/2
- Cloudflare's Chacha20 patch: add the ChaCha20 + Poly1305 cipher suite
- Nginx-CT
ssl_stapling_file
多指令补丁
- OpenSSL/
推荐使用 nginx-autoinstall 脚本进行安装,
原 Repo 仅适用于 Debian 8
,
其它发行版需要稍作修改。
编译并安装完可以使用如下工具测试相关特性:
- https://blog.cloudflare.com/tools-for-debugging-testing-and-using-http-2/ - HTTP/2 测试
- https://spdycheck.org/ - Spdy 测试
- https://tools.keycdn.com/brotli-test - Brotli 测试
工具选择
CA 当然选择免费且开源的 LE ;
工具方面则依旧选用 ACME-Tiny,
官方列表中亦罗列不少,
包括最近很流行的国人作品 ACME.sh ,
若选用其它工具则签发流程会有所变化(相应环节会稍作说明)。
密钥强度及算法选择
据 RFC5480
,对 ECDSA 证书的推荐组合如下: