手头有一个国内的固定IP,80端口被封,内网中配置了一台运行lnmp的linux网站服务器,通过路由器端口映射功能,可以访问到443端口(https模式)。
lnmp自带的脚本中就可以增加Let's Encrypt SSL证书,但是该证书需要外网访问到域名才可以签发,但实际上80端口被封杀,压根无法访问到域名。通过google搜索发现也可以通过DNS验证模式来给需要上SSL的域名签名,但是毕竟繁琐。
时刻片刻,我想到了一个很有意思的方法——既然只是80端口被封,那么其它端口是可以正常访问到内网的网站服务器的(路由器上做端口映射)。
准备如下(以下数据都按实际修改):
1、国内的固定IP为1.1.1.1
2、国外买一台便宜的Linux服务器,安装好lnmp,获得固定IP为2.2.2.2
3、需要上SSL的域名为is36.com的子域名ssl.is36.com,is36.com域名放在dnspod.cn解析的,增加3个解析记录如下:
- ssl.is36.com的A记录默认解析到1.1.1.1
- ssl.is36.com的A记录国外线路解析到2.2.2.2
- sslfd.is36.com的A记录默认解析到1.1.1.1
4、在国内的路由器上设置443端口映射到内网服务器443端口,888端口映射到内网服务器80端口.
5、在国内的服务器上新增sslfd.is36.com网站,指定网站目录为ssl.is36.com目录。
6、在国外的服务器上/usr/local/nginx/conf/vhost目录下新增一个sslfd.is36.com.conf文件,内容如下:
- server
- {
- listen 80;
- server_name ssl.is36.com;
- location / {
- proxy_pass http://sslfd.is36.com:888/;
- proxy_redirect off;
- proxy_set_header X-Real-IP $remote_addr;
- proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
- }
- }
7、保存好以上配置信息后,执行service nginx reload使生效。
8、回到国内服务器上,执行新增网站ssl.is36.com,指定ssl.is36.com目录,指定增加Let's Encrypt证书,最后就会部署成功。
9、尝试访问https://ssl.is36.com,成功!
总结:本文的解决思路就是通过dnspod国内外分区域访问的方法,让Let's Encrypt的验证服务器(国外线路)访问到我们的国外服务器,国外服务器接收验证请求后利用nginx反向代理获取http://sslfd.is36.com:888/的数据,而http://sslfd.is36.com:888/网站的数据跟ssl.is36.com的网站数据是同一个目录的,自然就会让验证服务器觉得验证成功了!