17

由于 Heroku 是只读的并且不允许 sudo,我需要做什么才能在他们的服务器上为我的应用程序安装 LetsEncrypt.org 证书?

如果我已经设置config.force_ssl = true了,那有关系吗?

4

6 回答 6

10

我在这里阅读了第一个答案中的博客文章,但我不想用 ACME url 和逻辑污染我的代码库。所以我做了类似的事情,但使用了 DNS 域验证......

使用 certbot,将 DNS 指定为您的首选挑战:

sudo certbot certonly --manual --preferred-challenges dns

经过几次提示后,certbot 会告诉您部署 DNS TXT 记录来验证您的域:

Please deploy a DNS TXT record under the name
_acme-challenge.www.codesy.io with the following value:

CxYdvM...5WvXR0

Once this is deployed,
Press ENTER to continue

您的域注册商可能有自己的用于部署 TXT 记录的文档。执行此操作,然后返回 certbot 并按 ENTER - Let's Encrypt 将检查 TXT 记录,签署证书,然后 certbot 将保存它以供您上传到 heroku。

有关更多详细信息,请参阅我自己的博客文章

这里有两个 bash 函数,您可以使用它们来为您自动执行该过程

function makessl {
    sudo certbot certonly --manual --rsa-key-size 4096 --preferred-challenges dns -d ${1}
    sudo heroku certs:add --type=sni /etc/letsencrypt/live/${1}/fullchain.pem /etc/letsencrypt/live/${1}/privkey.pem
}

function renewssl {
    sudo certbot certonly --manual --rsa-key-size 4096 --preferred-challenges dns -d ${1}
    sudo heroku certs:update /etc/letsencrypt/live/${1}/fullchain.pem /etc/letsencrypt/live/${1}/privkey.pem
}

他们对域名进行争论,只要您从内部运行它们,heroku app folder您就不必指定--app NAME

例子: makessl www.domain.com

例子: renewssl www.domain.com

结合这是@Eric的答案,你很高兴:

heroku certs:auto:enable

于 2017-01-03T14:23:45.087 回答
4

仅供参考,如果您运行付费测功机,Heroku 现在提供带有 Let's Encrypt 的自动证书管理。您可以通过以下方式启用它:

heroku certs:auto:enable

更多信息:

https://devcenter.heroku.com/articles/automated-certificate-management

于 2017-03-28T14:46:15.667 回答
2

编辑:这个答案不再适用。

它是在 Heroku 实现对 LetsEncrypt 的原生支持之前编写的。剩下的留给后代,但这不再是必要的。现在使用@Eric 的答案

安装初始证书

您可以在手动模式下使用 certbot 生成质询响应,修改您的站点以返回该响应,然后最终完成 certbot 手动过程。

有关更多详细信息,请参阅 Daniel Morrison 的这篇博文,或下面证书更新下的链接答案。

证书更新

正如@Flimm 提到的,以及链接的博客文章中提到的,您必须每 3 个月更新一次,直到 Heroku 为 LetsEncrypt 提供更好的支持。您可以使用此答案中所述的环境变量(Node/Express,但概念相同)使该过程更顺畅(无需更改代码上传):https ://stackoverflow.com/a/40199581/37168

萨巴永

有一个 GitHub 项目可以通过设置 Heroku 环境变量为您自动完成所有这些工作。它是一个小型 Web 应用程序,您可以将其安装为另一个 Heroku 应用程序,然后再配置您的主应用程序。我还没有尝试过,但我打算下次使用它而不是更新我的证书:https ://github.com/dmathieu/sabayon

于 2016-12-19T22:20:48.073 回答
0

我创建了一个 certbot 插件,它使用 Heroku CLI 来自动验证和安装 Let's Encrypt 证书:https ://github.com/gboudreau/certbot-heroku

我只有一个使用 php-nginx Heroku buildpack 的示例,但是阅读该示例并找到其他 buildpack 的等价物应该很容易。欢迎请求请求以帮助他人!

于 2017-01-11T02:58:16.243 回答
0

最好的方法是将新的 ssl 域(以 https 开头)分配给您的域,该域会自动覆盖非 http 域

于 2016-12-09T15:40:55.980 回答
0

Heroku的默认推荐是使用服务器名称指示 (SNI) 的 SSL,它是免费的。由于您已经获得了证书和密钥,您可以通过以下方式添加它们:

heroku certs:add <cert>.pem <key>.key

如果您需要支持不支持 SNI 的旧版浏览器客户端,请使用Herkou SSL Endpoint插件,每月收费 20 美元:

通过运行添加该插件

heroku addons:create ssl:endpoint

然后添加您的 LetsEncrypt.org 证书:

heroku certs:add <cert>.pem <key>.key
于 2016-11-11T12:05:12.603 回答