使用 letsEncrypt 为web站点增加 https 证书

安装certbot

不同的操作系统,不同的http服务器,所使用的安装方式会有所不同,详情请参考 https://certbot.eff.org/ 

生成证书

生成证书,有两种模式,standalone模式和webroot模式, standalone 模式虽然可以配置好服务器,但是以后 Renew 的时候,需要让服务停止一下,再启动。因此推荐使用 Webroot 配置模式。

因为,CertBot在验证服务器域名的时候,会生成一个随机文件,然后CertBot的服务器会通过HTTP访问你的这个文件,因此要确保你的Nginx配置好,以便可以访问到这个文件。

改你的服务器配置,在server模块添加:

location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /usr/share/nginx/html;
}

location = /.well-known/acme-challenge/ {
return 404;
}

接着重新加载Nginx配置:

sudo service nginx reload

然后在命令行输入:

sudo certbot certonly --webroot -w /usr/share/nginx/html/ -d your.domain.com

该命令成功执行之后,会在 /etc/letsencrypt 目录下生成证书相关文件。

配置证书

这里仅给出最简单的例子, 更加详尽的配置和 letsencrypt 无关,而主要是和如何配置 https 相关

server {
        listen 443 ssl;
        listen [::]:443 ssl ipv6only=on;

        ssl_certificate /etc/letsencrypt/live/your.domain.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/your.domain.com/privkey.pem;
        ssl_trusted_certificate /etc/letsencrypt/live/your.domain.com/chain.pem;
        
        // ... other settings ...
}

详细例子请参考: https://letsecure.me/secure-web-deployment-with-lets-encrypt-and-nginx/

更新证书

先在命令行模拟证书更新:

sudo certbot renew --dry-run

既然模拟成功,我们就使用crontab -e的命令来启用自动任务,命令行:

sudo crontab -e

添加配置:

30 2 * * 1 /usr/bin/certbot renew  >> /var/log/le-renew.log

上面的执行时间为:每周一半夜2点30分执行renew任务。

你可以在命令行执行/usr/bin/certbot renew >> /var/log/le-renew.log看看是否执行正常,如果一切OK,那么我们的配置到此结束!

renew 遇到错误

WARNING:letsencrypt.client:Registering without email!

此时使用如下命令:

letsencrypt renew --dry-run -m YOURMAIL --agree-tos

resource

添加新评论