2018-11-20

使用 acme.sh + nginx 使用 RSA 和 ECC 双证书

ECC证书 相比 RSA证书, 密钥短了很少,但安全性还是有保证,ECC 是Elliptic curve cryptography的简写, 是一种建立公开密钥加密的算法,基于椭圆曲线。由于其密钥较短,运算速度较快,所以渐渐开始在一些网站上使用。但是由于有些老旧 浏览器/系统 不支持ECC证书,为了使他们能够访问,所有我们还得提供一份 RSA证书。

申请

我的网站的证书是使用Let's Encrypt,所以我使用 acme.sh 这个工具来申请证书。 这个工具强大的地方是能使用各种DNS的API自动验证域名并续期,我的域名 boxjan.com 托管于 cloudxns 上。

按照 How to install 安装脚本,接着按照 DNSAPI ,对应着去申请API,并使用 export 命令声明变量。例如

export CX_Key="1234"
export CX_Secret="sADDsdasdgdsf"

接着使用命令

#申请 RSA 证书
acme.sh --issue --dns {dns_short_name} -d example.com -d www.example.com
#申请 ECC 256位 证书(跟 384位证书 二选一)
acme.sh --issue --dns {dns_short_name} -d example.com -d www.example.com --keylength ec-256
#申请 ECC 384位 证书(跟 256位证书 二选一)
acme.sh --issue --dns {dns_short_name} -d example.com -d www.example.com --keylength ec-384

接着使用

acme.sh --install-cert -d example.com \
--key-file       /path/to/keyfile/in/nginx/rsa.key.pem  \
--fullchain-file /path/to/fullchain/nginx/rsa.cert.pem \
--reloadcmd     "service nginx force-reload"
acme.sh --install-cert -d example.com -ecc \
--key-file       /path/to/keyfile/in/nginx/ecc.key.pem  \
--fullchain-file /path/to/fullchain/nginx/ecc.cert.pem \
--reloadcmd     "service nginx force-reload" 

分别将RSA和ECC证书复制到指定目录中去,这样,证书就安装完成了。

启用

Web 服务器我使用了Nginx,一切准备妥当之后,将证书配置改为双份,一份填写ecc证书地址,另一份则填写rsa证书地址, 例如

ssl_certificate     /path/to/fullchain/nginx/rsa.cert.pem;
ssl_certificate_key /path/to/keyfile/in/nginx/rsa.key.pem;

ssl_certificate     /path/to/keyfile/in/nginx/ecc.cert.pem;
ssl_certificate_key /path/to/keyfile/in/nginx/ecc.key.pem;

修改ssl_ciphers, 我使用了这么一段

ssl_ciphers    ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-CHACHA20-POLY1305:ECDHE+AES128:RSA+AES128:ECDHE+AES256:RSA+AES256:ECDHE+3DES:RSA+3DES;

如果有需要也可以参考Mozilla提供的

ssl_ciphers    ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS

重启nginx后使用ssllabs检查应该是能发现有两张证书的

P.S. Let's Encrypt至今一直不支持ECC的中间证书, 预计是2019年第一季度能够实现

-- EOF --

comments

如果无法加载 请将 disqus.com | disquscdn.com 加入代理