Let’s Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起,主要的目的也是为了推进网站从HTTP向HTTPS过度的进程,目前已经被大多数公司支持。目前Let’s Encrypt免费SSL证书默认是90天有效期,但是我们也可以到期自动续约。
一.安装let’s encrypt的前期准备工作
(1)公网环境下使用,内网的话,外部访问进不来
(2)yum -y install git-core
(3)已经注册过的域名二.获取Let’s Encrypt免费SSL证书
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto certonly --standalone --email hahaha@gmail.com -d www.mydomain.com
##将域名更改为自己需要部署的域名如果提示证书已经生成并保存,代表证书生成成功。证书有效期为90天,可以通手动更新续期,也可以通过crontab添加定时任务,自动续期。
./letsencrypt-auto certonly --renew-by-default --email hahaha@gmail.com -d www.mydomain.com
自动获取证书,配置crontab:
* * 1 * * ./letsencrypt-auto certonly --renew-by-default --email hahaha@gmail.com -d www.mydomain.com 证书申请过程中一定要注意以下几个问题:
(1)域名一定要解析到当前服务器,dns服务器一定要用到海外dns,国内dns可能访问不到。
(2)需要服务器支持python2.7环境以及git环境
(3) Let’s Encrypt默认是90天免费,需要手工或者自动续期才可以继续使用。
三.配置nginx
server {
listen 443 ssl;
server_name www.mydomain.com;
index index.html index.php;
root /usr/share/nginx/html/;
ssl_certificate /etc/letsencrypt/live/www.mydoman.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/www.mydomain.com/privkey.pem;
}
server {
listen 80;
server_name hahaha.owfox.com;
return 301 https://$server_name$request_uri;
}