编程爱好者之家

网站配置SSL证书(https),使网站可以通过https访问

2019-06-06 123

我们申请的是Let's Encrypt通配符SSL证书,因为他是免费的

1.获取 Certbot 客户端

下载 Certbot 客户端 ,并且添加可执行权限

cd /usr/local/
wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
2.申请通配符证书

客户在申请Let’s Encrypt证书的时候,需要校验域名的所有权,证明操作者有权利为该域名申请证书,目前支持三种验证方式:

  • dns-01:给域名添加一个 DNS TXT 记录。

  • http-01:在域名对应的 Web 服务器下放置一个 HTTP well-known URL 资源文件。

  • tls-sni-01:在域名对应的 Web 服务器下放置一个 HTTPS well-known URL 资源文件

使用Certbot客户端申请证书方法非常的简单,只需如下一行命令就搞定了。

特别注意:

申请通配符证书,只能使用 dns-01 的方式。
xxx.com 请根据自己的域名自行更改。如果要.xxx.com xxx.com都可以使用需要配置 -d “.xxx.com” -d “xxx.com”。

./certbot-auto certonly  -d "*.xxx.com" -d "xxx.com" --manual --preferred-challenges dns-01  --server https://acme-v02.api.letsencrypt.org/directory

执行完这一步之后,就是命令行的输出,请根据提示输入相应内容:

image.png

执行到上图最后一步时,先暂时不要回车。申请通配符证书是要经过DNS认证的,接下来需要按照提示在域名后台添加对应的DNS TXT记录。

image.png

确认生效后,回车继续执行,最后会输出如下内容:

image.png

出现这个就代表成功了


相关参数说明:
certonly    表示插件,Certbot有很多插件。不同的插件都可以申请证书,用户可以根据需要自行选择。
-d    为哪些主机申请证书。如果是通配符,输入 *.xxx.com(根据实际情况替换为你自己的域名)
--preferred-challenges dns-01    使用DNS方式校验域名所有权
--server    Let's Encrypt ACME v2版本使用的服务器不同于v1版本,需要显示指定
3.证书续期

Let’s encrypt 的免费证书默认有效期为 90 天,到期后如果要续期可以执行:

/home/certbot-auto renew


4.在Nginx.conf配置 Let’s Encrypt证书:

server {
    listen       80;
    server_name xxx.cn;
    root   "/test/xxxx";
    
    listen 443 ssl;
    ssl on;
    ssl_certificate      /etc/letsencrypt/live/feecgo.com/fullchain.pem;
    ssl_certificate_key  /etc/letsencrypt/live/feecgo.com/privkey.pem;
    ssl_session_cache    shared:SSL:1m;
    ssl_session_timeout  5m;
    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;
}

注释:/etc/letsencrypt/live/feecgo.com/fullchain.pem以及/etc/letsencrypt/live/feecgo.com/privkey.pem;是在证书申请成功后返回的,每个站点的不同

image.png



同类文章

您的赞赏是对小编最大的支持!