最简单Let’s Encrypt配置SSL证书以及自动续期教程

2017年最简单的Let's Encrypt配置SSL证书以及自动续期

 

本文推荐的方式,应该是目前最简单的方式了!

Let's Encrypt应该一款免费开源的SSL生成程序。操作相对比较容易,使用门槛不高。

网上有很多Let's Encrypt部署方法,有兴趣可以去Google一下。

本文介绍的 Certbot 来生成HTTPS证书。

 

以下推荐几款免费的SSL

>>> 推荐几款非常不错的免费SSL

 

官网

https://certbot.eff.org/

https://github.com/certbot/certbot

 

 

部署

本文演示以Centos为例!官方提供多种系统的配置说明,可以自行查阅。

certbot SSL证书

 

安装certbot

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
./certbot-auto

 

如果出现错误信息:

Failed to find apachectl in PATH: /usr/local/nginx/sbin:/usr/local/php/bin:/usr/local/mysql/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin

请执行以下代码安装即可

yum -y install httpd httpd-devel

 

解析域名

生成证书前,需要将域名全部解析到服务器上,否则生成失败。

 

 

生成域名证书

下面的代码是生成 somecolor.cc / www.somecolor.cc / api.somecolor.cc

如果你要生成更多域名,直接后面再加 -d xxxxx.xx  即可啦。

./certbot-auto certonly --standalone -d somecolor.cc -d www.somecolor.cc -d api.somecolor.cc

命令执行过程中

需要填写你的邮箱 ,输入邮箱回车。

同意TOS条款 ,输入 Y 表示同意,回车。

还有一个同意分享邮箱,输入Y 回车。

 

生成成功,可到目录 /etc/letsencrypt/live/  查看我们的证书了!

 

 

配置证书

我们以Nginx为例!

可参考以下配置哦~~

server
    {
        listen 443;
        server_name api.somecolor.cc;
        index index.html index.htm index.php;
        root  /home/wwwroot/api.cnsecer.com/;
        ssl on;
        ssl_certificate /etc/letsencrypt/live/somecolor.cc/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/somecolor.cc/privkey.pem;
        ssl_protocols  TLSv1 TLSv1.1 TLSv1.2; #可不要
        ssl_ciphers   ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA;#可不要
        ssl_prefer_server_ciphers  on; #可不要
        ssl_session_cache    shared:SSL:10m;  #可不要
        ssl_session_timeout  24h; #可不要
        keepalive_timeout 300s; #可不要
 
 
        location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
        {
            expires      30d;
        }
 
        location ~ .*\.(js|css)?$
        {
            expires      12h;
        }
 
        location ~ /\.
        {
            deny all;
        }
 
        access_log  /home/wwwlogs/somecolor.cc.log;
    }

 

自动续期

首先我们需要将可执行文件 移动一个公共目录。

如果要放到root目录下,只要处理好权限问题也是可以的。

 

手动延期

./certbot-auto renew --dry-run

 

利用Cron自动延期

注意路径问题。

./certbot-auto renew --quiet

 

 

 

版权声明:
作者:我是小马甲~
链接:https://51.ruyo.net/3163.html
来源:如有乐享
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
最简单Let’s Encrypt配置SSL证书以及自动续期教程
  本文推荐的方式,应该是目前最简单的方式了! Let's Encrypt应该一款免费开源的SSL生成程序。操作相对比较容易,使用门槛不高。 网上有很多Let's Encr……
<<上一篇
下一篇>>
文章目录
关闭
目 录