最简单Let’s Encrypt配置SSL证书以及自动续期教程
本文推荐的方式,应该是目前最简单的方式了!
Let's Encrypt应该一款免费开源的SSL生成程序。操作相对比较容易,使用门槛不高。
网上有很多Let's Encrypt部署方法,有兴趣可以去Google一下。
本文介绍的 Certbot 来生成HTTPS证书。
以下推荐几款免费的SSL
>>> 推荐几款非常不错的免费SSL
官网
https://github.com/certbot/certbot
部署
本文演示以Centos为例!官方提供多种系统的配置说明,可以自行查阅。
安装certbot
wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto ./certbot-auto
如果出现错误信息:
请执行以下代码安装即可
yum -y install httpd httpd-devel
解析域名
生成证书前,需要将域名全部解析到服务器上,否则生成失败。
生成域名证书
下面的代码是生成 somecolor.cc / www.somecolor.cc / api.somecolor.cc
如果你要生成更多域名,直接后面再加 -d xxxxx.xx 即可啦。
./certbot-auto certonly --standalone -d somecolor.cc -d www.somecolor.cc -d api.somecolor.cc
命令执行过程中
需要填写你的邮箱 ,输入邮箱回车。
同意TOS条款 ,输入 Y 表示同意,回车。
还有一个同意分享邮箱,输入Y 回车。
生成成功,可到目录 /etc/letsencrypt/live/ 查看我们的证书了!
配置证书
我们以Nginx为例!
可参考以下配置哦~~
server { listen 443; server_name api.somecolor.cc; index index.html index.htm index.php; root /home/wwwroot/api.cnsecer.com/; ssl on; ssl_certificate /etc/letsencrypt/live/somecolor.cc/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/somecolor.cc/privkey.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #可不要 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA;#可不要 ssl_prefer_server_ciphers on; #可不要 ssl_session_cache shared:SSL:10m; #可不要 ssl_session_timeout 24h; #可不要 keepalive_timeout 300s; #可不要 location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ { expires 30d; } location ~ .*\.(js|css)?$ { expires 12h; } location ~ /\. { deny all; } access_log /home/wwwlogs/somecolor.cc.log; }
自动续期
首先我们需要将可执行文件 移动一个公共目录。
如果要放到root目录下,只要处理好权限问题也是可以的。
手动延期
./certbot-auto renew --dry-run
利用Cron自动延期
注意路径问题。
./certbot-auto renew --quiet
版权声明:
作者:我是小马甲~
链接:https://fandai.gezi.workers.dev/3163.html
来源:如有乐享
文章版权归作者所有,未经允许请勿转载。
共有 0 条评论