在vps上通过acme.sh自动申请证书，并用nginx作反向代理#

本篇博客记录一下个人在自己的vps服务器上通过acme.sh获取证书，并配置nginx反向代理的过程。

准备#

安装acme.sh#

安装acme.sh非常简单，只要照着github上面的说明走就可以了。

1
curl https://get.acme.sh | sh -s [email protected]

一般来说，都是把acme.sh直接安装到当前用户的用户根目录下。

安装nginx#

在Ubuntu上安装nginx直接通过apt就可以安装

1
sudo apt install nginx

域名#

需要购买一个自己的域名，只要有了根域名后就可以在cloudflare上创建多个子域名，干各种事情了。

为自己的域名申请证书#

假设在cloudflare上，为自己的域名解析添加了一个子域名test.example.com到自己的服务器xx.xx.xx.xx，类型为A，开启cloudflare代理。

创建一个随便的nginx配置文件#

首先在/etc/nginx/sites-available中随便创建一个nginx的配置文件（真的随便创建一个就好，不影响后面的）

1
server {
2
    listen 80;
3
    server_name test.example.com;
4

5
    location /.well-known/acme-challenge/ {
6
        root /var/www/certbot;
7
    }
8
}

然后创建一个软链接，把这个文件链接到/etc/nginx/sites-enabled下面去

1
ln -s /etc/nginx/sites-available/test /etc/nginx/sites-enabled/test

接下来，最好检查一下创建的这个test配置文件是否有什么语法问题，使用以下命令来检查

1
# check if any syntax error in nginx configuration files
2
nginx -t
3
# reload nginx process
4
service reload nginx

使用acme.sh针对自己的域名和配置文件申请证书#

使用以下命令来为域名test.example.com申请一个方便nginx使用的证书

1
acme.sh --issue --nginx -d test.example.com

如果输出中没有error，就说明申请成功。

修改nginx配置文件#

目前只碰到过两种类型的网页。一种是诸如hexo博客这种的静态网页，直接会生成好文件。另一种就是像frps dashboard或者galene这样的直接在某一端口号上的进程。两种网页的nginx配置稍微有点不同。

静态网页#

1
# HTTP 配置 - 监听 80 端口并重定向所有流量到 HTTPS
2
server {
3
    listen 80;
4
    server_name test.example.com;
5

6
    root /var/www/html;  # 默认生成的静态网页放在/var/www/html下
7
    index index.html;
8

9
    location / {
10
        try_files $uri $uri/ =404;
11
    }
12

13
    # 重定向 HTTP 到 HTTPS
14
    return 301 https://$host$request_uri;
15
}
16

17
# HTTPS 配置 - 监听 443 端口并启用 SSL
18
server {
19
    listen 443 ssl;
20
    server_name test.example.com;
21

22
    ssl_certificate /etc/nginx/ssl/test_fullchain.crt;
23
    ssl_certificate_key /etc/nginx/ssl/test.key;
24

25
    ssl_protocols TLSv1.2 TLSv1.3;
26
    ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384';
27
    ssl_prefer_server_ciphers off;
28
    ssl_session_cache shared:SSL:10m;
29
    ssl_session_timeout 1h;
30

31
    root /var/www/html;
32
    index index.html;
33

34
    location / {
35
        try_files $uri $uri/ =404;
36
    }
37
}

其中，把server_name修改为自己的对应的域名，然后需要注意ssl_certificate和ssl_certificate_key后面的这两个路径，在之后的acme.sh的install命令中会要用到。一般也就顺便放在/etc/nginx中

进程类网页#

1
server {
2
    listen 80;
3
    server_name test.example.com;
4

5
    # HTTP 到 HTTPS 的重定向
6
    return 301 https://$host$request_uri;
7
}
8

9
server {
10
    listen 443 ssl;
11
    server_name test.example.com;
12

13
    # SSL 证书配置
14
    ssl_certificate /etc/nginx/ssl/test_fullchain.crt;
15
    ssl_certificate_key /etc/nginx/ssl/test.key;
16
    ssl_protocols TLSv1.2 TLSv1.3;
17
    ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384';
18
    ssl_prefer_server_ciphers off;
19
    ssl_session_cache shared:SSL:10m;
20
    ssl_session_timeout 1h;
21

22
    # 反向代理 Galene Web 服务器
23
    location / {
24
        proxy_pass http://127.0.0.1:8443;
25
        proxy_set_header Host $host;
26
        proxy_set_header X-Real-IP $remote_addr;
27
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
28
        proxy_set_header X-Forwarded-Proto $scheme;
29
    }
30

31
    # WebSocket 代理配置（用于实时视频和音频）
32
    location /ws {
33
        proxy_pass http://127.0.0.1:8443;
34
        proxy_http_version 1.1;
35
        proxy_set_header Upgrade $http_upgrade;
36
        proxy_set_header Connection "Upgrade";
37
        proxy_set_header Host $host;
38
    }
39
}

安装证书到指定位置#

需要记住之前使用到的ssl_certificate和ssl_certificate_key中的路径，接下来就是要把cert和key安装到这个目录下。

1
acme.sh --install-cert -d test.example.com --key-file /etc/nginx/tls/test.key --fullchain-file /etc/nginx/tls/test_fullchain.crt --cert-file /etc/nginx/tls/test.crt --reloadcmd "service nginx reload"

其中，cert-file其实是只有Apache才需要的，nginx并不需要，所以也可以选择不生成cert-file，只要确保有fullchain-file和key-file就可以了。

测试#

重载nginx服务一遍，同时确保ping自己的域名的时候能够解析出服务器的IP。然后就可以通过浏览器登录了。

源码编译安装nginx with h3 compatible#

源码编译nginx，包括stream模块，这样nginx就可以直接转发tcp流量。

同时支持h3(quic) 为此,不使用系统自带的openssl(因为版本过老 3.0.13,不完整支持quic),转而使用boringssl

安装boringssl#

克隆boringssl#

1
git clone https://boringssl.googlesource.com/boringssl

编译boringssl#

1
cmake -G Ninja -B build -DCMAKE_BUILD_TYPE=Release
2
cmake --build build

编译nginx#

配置nginx编译参数#

1
./configure \
2
    --prefix=/usr/local/nginx \
3
    --conf-path=/etc/nginx/nginx.conf \
4
    --sbin-path=/usr/sbin/nginx \
5
    --error-log-path=/var/log/nginx/error.log \
6
    --http-log-path=/var/log/nginx/access.log \
7
    --pid-path=/var/run/nginx.pid \
8
    --lock-path=/var/lock/nginx.lock \
9
    --modules-path=/usr/lib/nginx/modules \
10
    --with-http_ssl_module \
11
    --with-stream \
12
    --with-stream_ssl_module \
13
    --with-stream_ssl_preread_module \
14
    --with-threads \
15
    --with-file-aio \
16
    --with-http_v2_module \
17
    --with-http_gzip_static_module \
18
    --with-http_realip_module \
19
    --with-http_stub_status_module \
20
    --with-http_v3_module \
21
    --with-cc-opt="-O3 -march=native -pipe -I ../boringssl/include" \
22
    --with-ld-opt="-L ../boringssl/build -lssl -lcrypto -lstdc++"

编译并安装nginx#

1
make -j$(nproc)
2
make install

测试nginx#

1
nginx -t
2
nginx -V