在 OpenResty Edge 中通过 Let's Encrypt 签发免费 SSL 证书
今天我想展示如何在 OpenResty Edge 中通过 Let’s Encrypt 自动签发免费 SSL 证书。
为应用添加通配符域名
像往常一样,让我们进入 OpenResty Edge 的 Admin Web 控制台。这是我们的控制台的样本部署。每个用户都有自己的本地部署。
这一次我们继续使用 test-edge.com 域名的样本应用。
我们可以看到,它已经在 443 端口为 SSL 进行监听。
进入这个应用。
这里我们想要用子域名来做演示,所以需要先调整应用的设置。
让我们为这个应用添加一个新的通配符域名。
保存。
然后推送给我们的网关服务器。因为 Let’s Encrypt 服务器将会需要验证我们的域名所有权。
发布更改。
发布!
添加 SSL 证书
转到 SSL 页面。
我们可以看到,目前还没有定义 SSL 证书。
让我们添加一个新的证书。
我们支持各种不同的方式来颁发新的 SSL 证书。
这里就只演示 Let’s Encrypt 的方式。
将顶级域名 test-edge.com 添加到该证书中。
添加更多的子域名称。
输入我们的 api
子域。它可以是任何东西。
也可以添加更多子域名。
如果有很多域名,还可以使用批量输入模式。
可以在这里逐行输入所需要的域名。
先退出批量输入模式。
这里的所有域名必须被解析到这个 OpenResty Edge 部署的网关服务器上。
这个要求也在这里提到了。
在终端上,我们可以使用 dig
命令来测试域名是否已经解析到我们的网关服务器。
dig test-edge.com
可以看到有效的 DNS 答案。
也可以测试一下 api
子域。
dig api.test-edge.com
同样也得到了有效的 DNS 答案。
Let’s Encrypt 服务器需要通过这些域名访问我们的网关服务器。这是因为他们必须确保我们确实拥有这些域名。
对于通配符域名,你还必须使用 OpenResty Edge 作为域名的权威性 DNS 名称服务器。
同意 Lets' Encrypt 订阅者协议。
保存。
就可以看到新的 Let’s Encrypt 证书了。
证书来源是 Let’s Encrypt。
它有两个域名,正如预期的那样。
我们可以在这里查看实时状态。
通过点击这个状态图标来查看详细的进度。
还可以在这里观察有关 Let’s Encrypt 证书签发过程的详细日志。
现在可以看到证书已经被签发。
让我们先退出这个状态页面。
可以在这一栏中查看新证书的到期时间。
该证书将在 3 个月后过期。
而 OpenResty Edge 会在将来证书即将过期时自动更新。
我们可以看到预定的下次更新时间将在 2 个月后。也就是说,在过期前一个月。
现有的 Let’s Encrypt 证书也是可以编辑的。
我们在这里不做任何改动。
或者也可以删除这个证书。
我们现在不想删除它。
但可以在不删除的情况下禁用它。
然后,它也可以被重新启用。
我们需要发布一个新版本来推送我们的新证书,就像往常一样。
点击这个按钮。
发布!
现在已经完成了!
现在,新的证书已经被推送到所有的网关集群和服务器上。
我们的配置更改不需要重新加载服务器、重启或二进制升级服务器进程。所以它是非常有效和可扩展的。
然后,OpenResty Edge 将在这些证书过期前再次自动更新来自 Let’s Encrypt 的证书。
如果由于某些原因,一些证书未能更新,用户会收到类似这样的全局通知。
测试
让我们打开一个新的浏览器标签,通过 https
访问 test-edge.com 网站。
它成功了!
同时测试 api
子域。
它也能工作!
我们也可以用一个网关集群服务器,在终端上测试我们的新证书。
在旧金山附近选择一个网关服务器。
复制它的公共 IP 地址,以 133 结尾。
在终端上,我们可以向这个网关服务器发送一个 HTTPS 请求。
curl -I --resolve 'test-edge.com:443:138.68.231.133' https://test-edge.com/
成功了!
我们也可以使用 -v
选项获取更多细节信息。
curl -I --resolve 'test-edge.com:443:138.68.231.133' https://test-edge.com/ -v
运行这个命令。
我们确实可以在这里看到我们的服务器证书。还可以看到该证书确实是由 Let’s Encrypt 颁发的。
关于 OpenResty Edge
OpenResty Edge 是一款专为微服务和分布式流量架构设计的全能型网关软件,由我们自主研发。它集流量管理、私有 CDN 构建、API 网关、安全防护等功能于一体,帮助您轻松构建、管理和保护现代应用程序。OpenResty Edge 拥有业界领先的性能和可扩展性,能够满足高并发、高负载场景下的苛刻需求。它支持调度 K8s 等容器应用流量,并可管理海量域名,轻松满足大型网站和复杂应用的需求。
如果你喜欢这个教程,请订阅这个博客网站和我们的 YouTube 频道 或 B 站频道。谢谢!
关于作者
章亦春是开源 OpenResty® 项目创始人兼 OpenResty Inc. 公司 CEO 和创始人。
章亦春(Github ID: agentzh),生于中国江苏,现定居美国湾区。他是中国早期开源技术和文化的倡导者和领军人物,曾供职于多家国际知名的高科技企业,如 Cloudflare、雅虎、阿里巴巴, 是 “边缘计算“、”动态追踪 “和 “机器编程 “的先驱,拥有超过 22 年的编程及 16 年的开源经验。作为拥有超过 4000 万全球域名用户的开源项目的领导者。他基于其 OpenResty® 开源项目打造的高科技企业 OpenResty Inc. 位于美国硅谷中心。其主打的两个产品 OpenResty XRay(利用动态追踪技术的非侵入式的故障剖析和排除工具)和 OpenResty Edge(最适合微服务和分布式流量的全能型网关软件),广受全球众多上市及大型企业青睐。在 OpenResty 以外,章亦春为多个开源项目贡献了累计超过百万行代码,其中包括,Linux 内核、Nginx、LuaJIT、GDB、SystemTap、LLVM、Perl 等,并编写过 60 多个开源软件库。
关注我们
如果您喜欢本文,欢迎关注我们 OpenResty Inc. 公司的博客网站 。也欢迎扫码关注我们的微信公众号:
翻译
我们提供了英文版原文和中译版(本文) 。我们也欢迎读者提供其他语言的翻译版本,只要是全文翻译不带省略,我们都将会考虑采用,非常感谢!