17

如何设置 Openshift 应用程序以使用 let's encrypt ?

NB Openshift 不适用于简单的 python webserver 方法来连接服务器,您需要使用正确的端口并绑定到正确的 IP 地址。app/gear 也不需要有 html 根目录。

(我将在下面发布答案的问题。)

4

5 回答 5

13

首先,在这里投票,以便 OpenShift 将“让我们加密”作为优先事项。

我的步骤将适用于 Django 应用程序,但只需稍作更改,您就可以使它们在任何 OpenShift 设备上运行。
在您的 localhost/notebook/pc 上生成证书:

  1. git clone https://github.com/letsencrypt/letsencrypt到您的本地计算机。
  2. cd letsencrypt
  3. ./letsencrypt-auto -a manual -d example.com -d www.example.com
    现在将要求您确认您的域所有权。
  4. 在您的应用中,确保example.com/.well-known/acme-challenge/{some hash}返回所需的哈希。在 django 中,您可以将此行添加到urls.py

    url(r'^.well-known/acme-challenge/.*', views.https_confirmation, name="https_confirmation"),
    

    这要view.py

    def https_confirmation(request):
        if request.META['HTTP_HOST'] == 'www.example.com':
            return HttpResponse("fqTGI3nUiYnelm...", content_type="text/plain")
        else: #naked domain example.com
            return HttpResponse("HASH pre example.com", content_type="text/plain")
    

    如果您的 acme 确认页面未显示,请重新启动 OpenShift 应用程序。

  5. 只需将创建的证书上传/etc/letsencrypt/archive/example.com到 OpenShift Web 控制台。Fullchain.pem作为SSL 证书privkey.pem作为证书私钥

就是这样,现在您应该在 ssllabs.com 上获得 A 评级。
此外,要要求 Django 应用程序使用 HTTPS,请设置这些:

  1. settings.py

    if not DEBUG:
        SESSION_COOKIE_SECURE = True
        CSRF_COOKIE_SECURE = True`
    
  2. 创建文件wsgi/.htaccess并将这些行放在那里:

    RewriteEngine on
    RewriteCond %{HTTP:X-Forwarded-Proto} !https
    RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R,L]
    
  3. 为 WSGI 启用 HTTPS - 在文件中wsgi/application

    # make django aware that SSL is turned on
    os.environ['HTTPS'] = "on"
    

    这应该是全部:) 更新证书时需要重复这些步骤,所以每 90 天(60 天更好,所以你不会在最后一天遇到问题)。这是非常烦人的步骤,所以让我们希望(并投票)OpenShift 将很快实现 Letsencrypt!

于 2016-01-30T21:53:01.587 回答
4

Lucus03 的回答很好,我只想添加一个一般性评论。

假设 您至少有一个允许自定义域的青铜 Openshift 帐户。这工作正常,您可以访问您的网站(没有 https)。 http://www.testdomain.com

我们需要遵循手动过程。像我这样刚接触证书的人可能对一般概念不太清楚。

Let's Encrypt 需要在颁发证书之前确认您控制了域。这意味着将临时文件放在托管您网站的服务器上。Let's Encrypt 然后检查这些并颁发证书。

在手动过程中,临时文件首先下载到您的本地 PC。然后您手动将文件放在服务器上的正确位置。这些文本文件必须可以通过您的站点查看,否则该过程将失败。

由于使用 Openshift 的应用程序种类繁多,您会看到使用了不同的软件堆栈。例如http://velin-georgiev-blog.appspot.com/blog/details/5707532110659584指的是 Flask How to setup Openshift with let's encrypt (letsencrypt) by Lucas03 Django

如果您可以使用浏览器在 www.testdomain.com 上显示临时文件,您可能会忽略软件堆栈并坚持使用您所知道的。

于 2016-03-28T08:38:22.540 回答
3

假设应用程序称为https并且证书的域名称为www.example.com

首先(如果尚未完成)安装 rhc 工具,https://developers.openshift.com/en/managing-client-tools.html

第二(如果尚未完成)与您的 DNS 提供商设置 CNAME 记录 - 在 developers.openshift.com/en/managing-domains-ssl.html 测试 www.example.com (http) 是否正常工作并指向您的 openshift 应用程序前。

第三 登录到您的应用程序

rhc ssh -a https

从应用程序中,安装 Simple Let's Encrypt Client 并更新一些所需的 python 包

pip install git+https://github.com/kuba/simp_le
pip install --upgrade six
pip install --upgrade setuptools

现在停止应用程序(齿轮)设置一个 python2 网络服务器,它具有正确的端口和正确的 IP。[$OPENSHIFT_PYTHON_IP & OPENSHIFT_PYTHON_PORT]

(注意这是 python 3.4 中的一行,python -m http.server $OPENSHIFT_PYTHON_PORT --bind $OPENSHIFT_PYTHON_IP 但在撰写本文时 openshift 只有 python 3.2 或 python 2。所以需要一个简单的 python 17 行脚本)

gear stop
mkdir -p /tmp/http/.well-known/acme-challenge
cd /tmp/http
wget https://gist.githubusercontent.com/bmsleight/bc34254eed0ee458738e/raw/61110fe6e3980f0c6a401acae93f221f56b1eced/simple_acme_server.py
python2 simple_acme_server.py &

转到数据目录作为存储证书的好地方,让 simp_le 发挥它的魔力

cd ~/app-root/data/
simp_le --email example@example.com -f account_key.json   -f fullchain.pem -f key.pem   -d www.example.com --default_root /tmp/http 

假设没有错误,停止 python2 网络服务器,重新启动应用程序/齿轮并退出 openshift 服务器

killall python2
gear start
exit

第四 ,证书和密钥的上传必须在应用程序之外完成,所以从你的本地机器上 - 抓取一个副本然后上传它们(是的 scp 是错误的方式 - RTFM)

rhc scp -a https download ./ ./app-root/data/fullchain.pem
rhc scp -a https download ./ ./app-root/data/key.pem
rhc alias update-cert https www.example.com --certificate fullchain.pem --private-key key.pem

第五 在letsencrypt.org上表达一些爱

于 2016-01-30T18:41:11.873 回答
2

如果在 OpenShift V3+ 上部署,请查看https://github.com/ibotty/openshift-letsencrypt以获取公开路由上的自动化letsencrypt证书管理。

于 2017-06-03T05:59:08.667 回答
2

上面的答案是正确的,但有些复杂。我在下面找到了最简单的答案,请尝试一下。参考Let's Encrypt on OpenShift

假设你已经让加密,创建一个新文件夹,说“ssl”。在“ssl”文件夹中创建配置、工作和日志目录。然后运行letsencrypt 命令。

$ mkdir ssl
$ cd ssl
$ mkdir config work logs
$ letsencrypt --text --email name@email.com --domains www.mydomain.com,mydomain.com,foo.mydomain.com --agree-tos --renew-by-default --manual certonly --config-dir ./config/ --work-dir ./work/ --logs-dir ./logs/

它指示将文件上传到您的 openshift 部署。上传后,您可以继续操作,证书将供您使用。好,易于。

此外,请确保您的端点部署在“http”协议而不是“https”。否则 letencrypt 将抛出它已经有证书的错误。:-)

于 2016-06-16T04:58:08.780 回答