免费 https 证书（Let's Encrypt）申请与配置

原文：https://keelii.github.io/2016/06/12/free-https-cert-lets-encrypt-apply-install/

之前要申请免费的 https 证书操作步骤相当麻烦，今天看到有人在讨论，就搜索了一下。发现现在申请步骤简单多了。

1. 下载 certbot

git clone https://github.com/certbot/certbot
cd certbot
./certbot-auto --help

解压打开执行就会有相关提示

2. 生成免费证书

./certbot-auto certonly --webroot --agree-tos -v -t --email 邮箱地址 -w 网站根目录 -d 网站域名
./certbot-auto certonly --webroot --agree-tos -v -t --email keeliizhou@gmail.com -w /path/to/your/web/root -d note.crazy4code.com

注意这里默认会自动生成 /__网站根目录__/.well-known/acme-challenge，然后 shell 脚本会对应的访问 __网站域名__/.well-known/acme-challenge

如果返回正常就确认了你对这个网站的所有权，就能顺利生成

3. 获取证书

如果上面的步骤正常 shell 脚本会展示如下信息：

- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/网站域名/fullchain.pem
...

4. 生成 dhparams

使用 openssl 工具生成 dhparams

openssl dhparam -out /etc/ssl/certs/dhparams.pem 2048

5. 配置 Nginx

打开 nginx server 配置文件加入如下设置：

listen 443

ssl on;
ssl_certificate /etc/letsencrypt/live/网站域名/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/网站域名/privkey.pem;
ssl_dhparam /etc/ssl/certs/dhparams.pem;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;

然后重启 nginx 服务就可以了

6. 强制跳转 https

https 默认是监听 443 端口的，没开启 https 访问的话一般默认是 80 端口。如果你确定网站 80 端口上的站点都支持 https 的话加入下面的配件可以自动重定向到 https

server {
    listen 80;
    server_name your.domain.com;
    return 301 https://$server_name$request_uri;
}

免费 https 证书（Let's Encrypt）申请与配置

1. 下载 certbot

2. 生成免费证书

3. 获取证书

4. 生成 dhparams

5. 配置 Nginx

6. 强制跳转 https

keelii

引用和评论

从实际案例讲 Deno 的应用场景

为什么我的网站会显示“不安全”

如何免费申请公网 IP 的 SSL 证书 (无需域名)

访问的网站被浏览器提示不安全怎么办？有什么解决办法吗？

IP地址证书需要验证吗？

Cookie的secure属性引起循环登录问题分析及解决方案

公网与内网IP地址SSL证书申请简明指南