网站配置SSL证书(https),使网站可以通过https访问
我们申请的是Let's Encrypt通配符SSL证书,因为他是免费的
1.获取 Certbot 客户端
下载 Certbot 客户端 ,并且添加可执行权限
cd /usr/local/ wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto
2.申请通配符证书
客户在申请Let’s Encrypt证书的时候,需要校验域名的所有权,证明操作者有权利为该域名申请证书,目前支持三种验证方式:
dns-01:给域名添加一个 DNS TXT 记录。
http-01:在域名对应的 Web 服务器下放置一个 HTTP well-known URL 资源文件。
tls-sni-01:在域名对应的 Web 服务器下放置一个 HTTPS well-known URL 资源文件
使用Certbot客户端申请证书方法非常的简单,只需如下一行命令就搞定了。
特别注意:
申请通配符证书,只能使用 dns-01 的方式。
xxx.com 请根据自己的域名自行更改。如果要.xxx.com xxx.com都可以使用需要配置 -d “.xxx.com” -d “xxx.com”。
./certbot-auto certonly -d "*.xxx.com" -d "xxx.com" --manual --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory
执行完这一步之后,就是命令行的输出,请根据提示输入相应内容:
执行到上图最后一步时,先暂时不要回车。申请通配符证书是要经过DNS认证的,接下来需要按照提示在域名后台添加对应的DNS TXT记录。
确认生效后,回车继续执行,最后会输出如下内容:
出现这个就代表成功了
相关参数说明:
certonly 表示插件,Certbot有很多插件。不同的插件都可以申请证书,用户可以根据需要自行选择。 -d 为哪些主机申请证书。如果是通配符,输入 *.xxx.com(根据实际情况替换为你自己的域名) --preferred-challenges dns-01 使用DNS方式校验域名所有权 --server Let's Encrypt ACME v2版本使用的服务器不同于v1版本,需要显示指定
3.证书续期
Let’s encrypt 的免费证书默认有效期为 90 天,到期后如果要续期可以执行:
/home/certbot-auto renew
4.在Nginx.conf配置 Let’s Encrypt证书:
server {
listen 80;
server_name xxx.cn;
root "/test/xxxx";
listen 443 ssl;
ssl on;
ssl_certificate /etc/letsencrypt/live/feecgo.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/feecgo.com/privkey.pem;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
}注释:/etc/letsencrypt/live/feecgo.com/fullchain.pem以及/etc/letsencrypt/live/feecgo.com/privkey.pem;是在证书申请成功后返回的,每个站点的不同
-
Could not resolve host: mirrors.cloud.aliyuncs.com; Unknown error
-
permission denied是什么意思呢-怎么解决permission denied的问题
-
linux安装ipset封ip
-
centos7安装配置svn服务器
-
RHSA-2021:0221: sudo 安全更新-中危
-
网站配置SSL证书(https),使网站可以通过https访问
-
centos7安装memcached以及php7的memcached拓展
-
linux通过rsync命令将一个服务器上文件备份到另一个服务器上
-
CentOS 7 安装 LNMP 环境
-
Linux常用到的命令总结(13)--备份