閱讀本文大概需要 3.6 分鐘���。
昨天晚上在服務器上為 nginx 部署 https 服務器,和之前不同的是,這次使用的 http 端口是 8080,之前使用默認的 80,因此使用 Let's Encrypt 生成證書時并沒有以前那么順利,如果網站已經開啟在了 http 的 80 端口,Let's Encrypt 生成證書太簡單了,簡單到你不會去思考它的原理��。
網上搜索“非80端口 certbot”,看完了換個詞搜,回答看了個遍,大多只說操作步驟,不說為什么要這么做,按照這些操作步驟操作了很多次仍沒有成功�����。此時已經是晚上11點了,想起吳軍老師的話,今天做不完的事情,一定要留到明天做,我合上電腦,決定立即休息(之前也遇到技術問題搞到深夜 2-3 點,仍然搞不定,影響到第二天的狀態,得不償失,熬夜非常不值)����。有些問題晚上11點還沒解決,熬夜也大概率解決不了�。
早上 6 點爬起來,大腦非常清晰,我還是想解決非80端口如何使用Let's Encrypt 申請 https 證書的問題,我突然想起考研數學界的永樂大帝,李永樂老師,他講過:數學,只有深刻理解的東西,才能更好的感覺它,語文,只有深刻感覺到的東西,才能更好的理解它��。這句話我印象特別深刻,他還對此進行發散,數學可以泛指一切理性的事物,比如男人�����、科學技術,語文也泛指一切感性的事物,比如女人�、藝術等����。就計算機技術來說,如果不深刻理解背后的原理,是無法輕松駕馭的�����。
于是我看了官網的這篇文章:https://letsencrypt.org/zh-cn/how-it-works/,明白了它的工作原理�。簡單來說,就兩步,一是要證明你對你的域名有控制權,防止你為別人申請證書,二是證書的頒發和吊銷���。第二點基本不需要我們干預,自動完成,咱們說下第一點���。
有兩種方式可以證明你對域名具有控制權:
一是你在你的域名提供商,就是可以綁定 ip 的地方,新綁定一個 TXT 映射,然后 letsencrypt 驗證成功了,就說明你對該域名有控制權����。截個圖如下
到這一步就是要你新增一條域名映射記錄,類型為TXT,把上圖中的那個字符串7rBRoMUcyphsdfdsfsfdfsaa3332rsdfsaOeMv1Tfpk-6phU放在你本應填寫 IP 地址的地方,等待個 3 分鐘左右,執行以下命令驗證:
dig _acme-challenge.xxxlab.cn txt
返回信息中,如果你看到了你填寫的字符串,那就說明新添加的域名映射生效了,可以按回車繼續生成證書了���。
二是,在 https://example.com/ 的已知 URI 下放置一個 HTTP 資源,這個就是最初提到的網站在 80 端口正常運行,我們就可以在服務器端執行證書申請,這些操作都會自動完成,示意圖如下:
假設它能夠完成上面的任務:它在 https://example.com 站點的指定路徑上創建了一個文件����。證書管理軟件還使用其私鑰對提供的 nonce(一次性數字)進行簽名�。完成這些步驟后,證書管理軟件會通知 CA 它已準備好完成驗證�����。
然后,CA 的工作就是檢查驗證是否已經完成���。CA 會驗證 nonce 上的簽名,并嘗試從 Web 服務器下載該文件,并確保其具有 CA 需要的內容��。
最后,如果你還想知道更加具體的生成證書的命令,請訪問官網https://letsencrypt.org/zh-cn/,無論是 apache 還是 nginx 都有相應的命令說明��。
執行命令不是我們要重點記憶的,那些原理才是���。正如李永樂老師教導,只有深刻理解了的東西,你才能更好的使用它�����。最近在看禪與摩托車維修藝術,作者對摩托車維修進行了禪的論述,很精彩,有段話是這么說的:
老手根本不會照著指示去做,他邊做邊取舍,因此必須全神貫注于手上的工作,即使他沒有刻意這樣做,他的動作和機器之間也自然地有一種和諧的感覺�����。他不需要遵照任何書面的指示,因為手中的機器給他的感覺決定他的思路和動作,同時也會影響他手中的工作���。所以機器和他的思想同時不斷地改變,一直到把事情做好了,他的內心才真正地安寧下來�?!抖U與摩托車維修藝術》
機器會反應出你真正的個性���、感受�����、推理和行動,而不是反應你自吹自擂�、膨脹的那一部分�。
