免费 https 证书（Let's Encrypt）申请与配置

2 years ago

source link: https://keelii.com/2016/06/12/free-https-cert-lets-encrypt-apply-install/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

之前要申请免费的 https 证书操作步骤相当麻烦，今天看到有人在讨论，就搜索了一下。发现现在申请步骤简单多了。

1. 下载 certbot

git clone https://github.com/certbot/certbot
cd certbot
./certbot-auto --help

解压打开执行就会有相关提示

2. 生成免费证书

./certbot-auto certonly --webroot --agree-tos -v -t --email 邮箱地址 -w 网站根目录 -d 网站域名
./certbot-auto certonly --webroot --agree-tos -v -t --email [email protected] -w /path/to/your/web/root -d note.crazy4code.com

注意这里默认会自动生成到 /网站根目录/.well-known/acme-challenge 文件夹，然后 shell 脚本会对应的访问 网站域名/.well-known/acme-challenge 是否存在来确定你对网站的所属权

比如：我的域名是 note.crazy4code.com 那我就得保证域名下面的 .well-known/acme-challenge/ 目录是可访问的

如果返回正常就确认了你对这个网站的所有权，就能顺利生成，完成后这个目录会被清空

3. 获取证书

如果上面的步骤正常 shell 脚本会展示如下信息：

- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/网站域名/fullchain.pem
...

4. 生成 dhparams

使用 openssl 工具生成 dhparams

openssl dhparam -out /etc/ssl/certs/dhparams.pem 2048

5. 配置 Nginx

打开 nginx server 配置文件加入如下设置：

listen 443

ssl on;
ssl_certificate /etc/letsencrypt/live/网站域名/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/网站域名/privkey.pem;
ssl_dhparam /etc/ssl/certs/dhparams.pem;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;

然后重启 nginx 服务就可以了

6. 强制跳转 https

https 默认是监听 443 端口的，没开启 https 访问的话一般默认是 80 端口。如果你确定网站 80 端口上的站点都支持 https 的话加入下面的配件可以自动重定向到 https

server {
    listen 80;
    server_name your.domain.com;
    return 301 https://$server_name$request_uri;
}

7. 证书更新

免费证书只有 90 天的有效期，到时需要手动更新 renew。刚好 Let’s encrypt 旗下还有一个 Let’s monitor 免费服务，注册账号添加需要监控的域名，系统会在证书马上到期时发出提醒邮件，非常方便。收到邮件后去后台执行 renew 即可，如果提示成功就表示 renew 成功

./certbot-auto renew

Recommend

www.linuxzen.com 4 years ago
Cache

通过 acme.sh 获取 Let's Encrypt 免费证书

配置 Nginx 正确处理 Webroot 验证在证书签发过程中 Let's Encrypt 会验证你拥有当前域名，最基本的方式在你的网站根目录创建一个文件，并通过域名在外部进行请求，如能请求到则认为你拥有该网站的控制权。假设你有一个域名 example.com，验证...

www.cnblogs.com 4 years ago
Cache

docker获取Let's Encrypt永久免费SSL证书

一起因官方的cerbot太烦了，不建议使用还不如野蛮生长的acme.sh，而这里介绍docker运行cerbot获取Let's Encrypt永久免费SSL证书二选型 cerbot的证书不会自动刷...

blog.grayson.org.cn 3 years ago
Cache

Let’s Encrypt免费的https证书

Let’s Encrypt免费的https证书 Aug 11, 2016 申请Let's Encrypt 免费https证书脚本。他的证书有效期只有90天，但是可以用自动化脚本继约，所以还是不很错的选择。 1. letsencrypt.sh证书的生成...

www.jdon.com 3 years ago
Cache

免费SSL证书Let's Encrypt的替代：SSL.com

免费SSL证书Let's Encrypt的替代：SSL.com随着 HTTPS 在 Web 上的使用不断增加，我们需要颁发证书的证书颁发机构提供更多支持，Let's Encrypt提供的免费SSL证书，但如果我们想加密整个 Web，我们不能依...

www.myfreax.com 2 years ago
Cache

如何配置Let's Encrypt SSL证书

Let's Encrypt 如何配置Let's Encrypt SSL证书 Web进行安全通信依赖于HTTPS，这需要使用数字证书，以便浏览器验证Web服务器的身份，比如说...

www.myfreax.com 2 years ago
Cache

如何在CentOS 8 Nginx配置Let's Encrypt SSL证书

Let's Encrypt 如何在CentOS 8 Nginx配置Let's Encrypt SSL证书 Web进行安全通信依赖于HTTPS，这需要使用数字证书，以便浏览器验证Web服务...

www.myfreax.com 2 years ago
Cache

如何在CentOS 7 Nginx配置Let's Encrypt SSL证书

Let's Encrypt 如何在CentOS 7 Nginx配置Let's Encrypt SSL证书 Web进行安全通信依赖于HTTPS，这需要使用数字证书，以便浏览器验证Web服务...

www.myfreax.com 2 years ago
Cache

如何在Ubuntu 18.04 Nginx配置Let's Encrypt SSL证书

Let's Encrypt 如何在Ubuntu 18.04 Nginx配置Let's Encrypt SSL证书 Web进行安全通信依赖于HTTPS，这需要使用数字证书，以便浏览器验证Web...

www.myfreax.com 2 years ago
Cache

如何在CentOS 7 Apache配置Let's Encrypt SSL证书

Let's Encrypt 如何在CentOS 7 Apache配置Let's Encrypt SSL证书 Web进行安全通信依赖于HTTPS，这需要使用数字证书，以便浏览器验证Web服...

www.myfreax.com 2 years ago
Cache

如何在Ubuntu 18.04 Apache配置Let's Encrypt SSL证书

Let's Encrypt 如何在Ubuntu 18.04 Apache配置Let's Encrypt SSL证书 Web进行安全通信依赖于HTTPS，这需要使用数字证书，以便浏览器验证We...