启用 https 简单免费的 Let's Encrypt SSL证书配置

头像
小猿大圣
    阅读 3 分钟
    5

    Let's Encrypt简介

    Let's Encrypt 是一个免费、开放,自动化的证书颁发机构。

    如果我们要启用 HTTPS,就需要从证书授权机构(以下简称 CA ) 处获取一个证书,Let's Encrypt 就是一个 CA。本文是 Debian 8 + Nginx 下的配置过程。

    Let's Encrypt 安装

    Let's Encrypt 官方 推荐我们使用 certbot 客户端

    注:letsencrypt 或者 letsencrypt-auto 这种方式从2016年5月开始已经过时了。

    certbot 客户端要求安装 Python 要有 root 权限

    clipboard.png

    如上图,我们在 certbot 的官网选择自己使用的服务器和操作系统。网站就会给出对应的安装文档。

    安装客户端

    sudo apt-get install certbot -t jessie-backports

    获取证书

    证书的获取有两种方式

    第一种,web 服务器已经在运行了,不能关闭端口和服务器,可以使用 --webroot 模式

    sudo certbot certonly --webroot -w /var/www/example -d example.com  --agree-tos --email 你的@邮箱.com

    这个命令会为 example.com 域名生成一个证书,使用 --webroot 模式会在 /var/www/example 中创建 .well-known 文件夹,这个文件夹里面包含了一些验证文件,letsencrypt 会通过访问 example.com/.well-known/acme-challenge 来验证你的域名是否绑定的这个服务器。--agree-tos 参数是你同意他们的协议。

    第二种,如果我们的项目没有根目录,只是一个微服务,可以使用 --standalone 模式。
    这种模式会自动启用服务器的 443 端口,来验证域名的归属。我们有其他服务(例如nginx)占用了443端口,就必须先停止这些服务,在证书生成完毕后,再启用。

    sudo certbot certonly --standalone -d example.com --agree-tos --email 你的@邮箱.com

    证书生成目录在 /etc/letsencrypt/live/,该目录下可以看到对应域名的文件夹,里面存放了指向证书的一些快捷方式。

    证书申请成功后会提示证书的文件路径,以及证书到期时间:

    IMPORTANT NOTES:

- Congratulations! Your certificate and chain have been saved at

/etc/letsencrypt/live/example.com/fullchain.pem. Your cert will

expire on 2018-02-08. To obtain a new version of the certificate in

the future, simply run Let's Encrypt again.

- If you like Let's Encrypt, please consider supporting our work by:

Donating to ISRG / Let's Encrypt:  https://letsencrypt.org/donate

Donating to EFF:                    https://eff.org/donate-le

    Nginx 配置

    server {
        server_name example.com www.example.com;
        listen 443;
        ssl on;
        ssl_certificate /etc/letsencrypt/live/diamondfsd.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/diamondfsd.com/privkey.pem;

        location / {
           proxy_pass http://localhost:4000;
        }
    }

    重启 Nginx 服务就可以使用 https

    证书自动更新

    Let's Encrypt 提供的证书只有 90 天的有效期,我们必须在证书到期之前,重新获取这些证书。

    我们可以在服务器添加一个 crontab 定时任务来处理

    crontab -e

    注:如果要执行的脚本需要 root 权限, 那就用 root 用户创建 crontab

    添加下面的内容

    10 1 * */2 * certbot renew --pre-hook "systemctl stop nginx" --post-hook "systemctl start nginx"

    这个 cron 计划,意思是 每隔两个月的凌晨 1:10 执行更新操作。

    --pre-hook 这个参数表示执行更新操作之前要做的事情,因为我用的 --standalone 模式的证书,所以需要停止 nginx 服务,解除端口占用。

    --post-hook 这个参数表示执行更新操作完成后要做的事情,这里就恢复 nginx 服务的启用。

    验证 https

    使用 ssllabs 在线测试服务器证书强度及配置正确性

    参考扩展

    Let's Encrypt 使用教程,免费的SSL证书,让你的网站拥抱 HTTPS

    letsencryptssl证书https
    小猿大圣
    1.3k 声望49 粉丝

    喵星人铲屎官、『海贼王海米答题』小程序开发者

    « 上一篇
    linux 服务器初始化配置流程
    下一篇 »
    哎呀,服务器登录不进去了瞎折腾

    引用和评论

    推荐阅读
    头像
    哎呀,服务器登录不进去了瞎折腾

    小猿大圣阅读 2.7k

    头像
    2024免费通配符申请途径

    帅崽1阅读 317

    头像
    如何免费申请公网 IP 的 SSL 证书 (无需域名)

    好心人帅崽1阅读 211

    头像
    最便宜的SSl证书

    好心人帅崽1阅读 203

    头像
    免费的IP SSL证书申请教程

    好心人帅崽1阅读 190

    头像
    免费一年期的SSL证书去哪里申请

    帅崽1阅读 176

    头像
    访问的网站被浏览器提示不安全怎么办?有什么解决办法吗?

    JoySSL230907阅读 1.1k

    0 条评论
    得票最新