浏览模式: 标准 | 列表 2017年11月20日的文章

解决80端口被封LNMP无法安装Let's Encrypt SSL证书

手头有一个国内的固定IP,80端口被封,内网中配置了一台运行lnmp的linux网站服务器,通过路由器端口映射功能,可以访问到443端口(https模式)。

lnmp自带的脚本中就可以增加Let's Encrypt SSL证书,但是该证书需要外网访问到域名才可以签发,但实际上80端口被封杀,压根无法访问到域名。通过google搜索发现也可以通过DNS验证模式来给需要上SSL的域名签名,但是毕竟繁琐。

时刻片刻,我想到了一个很有意思的方法——既然只是80端口被封,那么其它端口是可以正常访问到内网的网站服务器的(路由器上做端口映射)。

准备如下(以下数据都按实际修改):

1、国内的固定IP为1.1.1.1

2、国外买一台便宜的Linux服务器,安装好lnmp,获得固定IP为2.2.2.2

3、需要上SSL的域名为is36.com的子域名ssl.is36.com,is36.com域名放在dnspod.cn解析的,增加3个解析记录如下:

  • ssl.is36.com的A记录默认解析到1.1.1.1
  • ssl.is36.com的A记录国外线路解析到2.2.2.2
  • sslfd.is36.com的A记录默认解析到1.1.1.1

4、在国内的路由器上设置443端口映射到内网服务器443端口,888端口映射到内网服务器80端口.

5、在国内的服务器上新增sslfd.is36.com网站,指定网站目录为ssl.is36.com目录。

6、在国外的服务器上/usr/local/nginx/conf/vhost目录下新增一个sslfd.is36.com.conf文件,内容如下:

  • server
  • {
  •     listen          80;
  •     server_name     ssl.is36.com;
  •     location / {
  •         proxy_pass          http://sslfd.is36.com:888/;
  •         proxy_redirect      off;
  •         proxy_set_header    X-Real-IP       $remote_addr;
  •         proxy_set_header    X-Forwarded-For $proxy_add_x_forwarded_for;
  •         }
  • }

7、保存好以上配置信息后,执行service nginx reload使生效。

8、回到国内服务器上,执行新增网站ssl.is36.com,指定ssl.is36.com目录,指定增加Let's Encrypt证书,最后就会部署成功。

9、尝试访问https://ssl.is36.com,成功!

总结:本文的解决思路就是通过dnspod国内外分区域访问的方法,让Let's Encrypt的验证服务器(国外线路)访问到我们的国外服务器,国外服务器接收验证请求后利用nginx反向代理获取http://sslfd.is36.com:888/的数据,而http://sslfd.is36.com:888/网站的数据跟ssl.is36.com的网站数据是同一个目录的,自然就会让验证服务器觉得验证成功了!