一年半以前曾经买过一个廉价的https/ssl证书,部署在本博客blog.path8.net上,时间大概在 2015-5-17,然而并没有正式启用,以至于过期也都没有注意。前几天想于把这个事情搞起来。以前的经验是,廉价ssl证书都是只对一个域名有效,但竟然发现Let’s Encrypt的免费证书,还是多域名的。近一年的新文章里,有不少人对之大加赞扬;于是准备试试。同时也发现了腾讯云也有免费ssl证书,单域名的,免费一年,试用了一下,签发速度比较快,部署到本站上。不过还是决定使用Let’s Encrypt。下面是简单记录。
vps环境CentOS 6.x, niginx
花了半天时间研究Let’s Encrypt的相关文章(基本都是中文博客),另外尤其仔细读了其官方网站,开始实际操作,发现真的很简单。
ssh登录到服务器上操作,并且操作需要需要root权限。
1. 自动部署脚本需要epel源,如果之前没有安装先安装之 yum install epel-release
2. 在线获取签署脚本(按自己的习惯保存到合适目录)。签署脚本官方称之为客户端,有多个版本,这里使用的官方推荐的 certbot
wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto
3. 运行签署脚本。脚本里注意两人参数 -w, -d,分别是一个web目录及该目录对应的域名;多组目录就多次指定。这里只是获得证书文件,不做自动部署。(猜测是因为该脚本不支持nginx的自动部署,毕竟nginx不在centos官方源里,不同服务器上安装方式 不一样)。如下所示。
./certbot-auto certonly --webroot \ -w /var/www/html/blog.path8.net/html -d blog.path8.net \ -w /var/www/html/www.path8.net/html -d www.path8.net -d path8.net -d fengyqf.com
4. 接下来会自动通过yum安装几个依赖包,同意即可。
5. 然后是几步交互式对话:邮箱地址、同意条款、照着操作即可。因为Let’s Encrypt是自动签署,速度非常快,大概整个过程只花费了两三分钟(包括交互过程里等待用户操作的时间)。
交互询问邮箱地址
按其他网友的文章所说,使用国内dns服务很容易引发域名解析失败;此次使用dnspod却是一次成功的。成功后消息如文后。
在目录里 /etc/letsencrypt/live/{your.domain.ext}/ 得到四个文件:cert.pem chain.pem fullchain.pem privkey.pem 。简单理解,前两个是给Apache用的,后两个是给Nginx用的。(注意 privkey.pem 这个文件是私钥,内容千万要保密!)
事实上这四个文件是到/etc/letsencrypt/archive/{your.domain.ext}/ 下文件的符号链接。从结构上看,更新证书时,会自动更新符号链接目标。
按脚本执行的输出,运行日志记录在 Saving debug log to /var/log/letsencrypt/letsencrypt.log
下面是签署脚本成功执行后的消息。
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/blog.path8.net/fullchain.pem. Your cert will expire on 2017-01-14. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - If you lose your account credentials, you can recover through e-mails sent to fengyqf@gmail.com. - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
6. 部署证书文件到nginx上。主要是ssl_* 的行,指定为证书目录。
server {
listen 80;
listen 443;
ssl on;
ssl_certificate /etc/nginx/ssl/blog.path8.net_cert.crt;
ssl_certificate_key /etc/nginx/ssl/blog.path8.net.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
index index.html index.htm index.php;
# from nginx.org rewrite rule
# This is cool because no php is touched for static
try_files $uri $uri/ /index.php;
}
......
}
7. 重新加载nginx配置,或者重启。nginx -s reload
0 条评论。