Let'sencryptは現在無料のSSL証明書です。
いくつかの練習の後、証明書は最終的に正しくインストールされます。これは、プロセスと発生した問題の記録です。これは、困っている友人にとって便利です。
周囲
私の環境はAlibabaCloudubuntu-14.04です
ダウンロードツール
ダウンロードcertbot
ツール
wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
ssl証明書を生成する
service nginx stop
./certbot-auto certonly --standalone --email '[email protected]' -d 'example.com'
example.com
ドメイン名を変更する
Pythonパッケージのインストールを待つ時間が長すぎたため、中断後のインストールで問題が発生しました。
certbot-autoを使用してインストールし、証明書エラーを暗号化します
'pip install --upgradepip'コマンドを使用してアップグレードすることを検討する必要があります。
Certbotで仮想環境のセットアップに問題があります。
私たちはあなたのピップ出力から正しい解決策を推測することができませんでした。考えられる解決策については、
https://certbot.eff.org/docs/install.html#problems-with-python-virtual-environmentを参照してください
。
https://certbot.eff.org/support/にもいくつかのサポートリソースがあります。
証明書を直接インストールしたいのですが、さまざまなソースを変更しても証明書のインストールが
見つかりません。次の解決策が見つかります。
rm /root/.pip/pip.conf
解決後に再実行./certbot-auto certonly --standalone --email '[email protected]' -d 'example.com'
する数分かかる場合があります。同様のメッセージが表示された場合、生成は成功しています。
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert
will expire on 2019-09-18. To obtain a new or tweaked version of
this certificate in the future, simply run certbot again. To
non-interactively renew *all* of your certificates, run "certbot
renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
nginxを構成する
次のコードをnginx構成ファイルのサーバーに追加します。
listen 443 ssl;
ssl on;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
example.com
ドメイン名を変更することを忘れないでください
nginxを再起動します
service nginx start
起動に失敗した場合は、以下のコマンドを実行して設定ファイルを確認してください。
nginx -t
ウェブサイトを開きhttps://example.com
ます。ブラウザの緑色のフラグが表示されたら、設定が成功しました。おめでとうございます。
証明書の自動更新
証明書の有効期間は90日です。通常、残り30日以上になると、証明書の申請時にリマインダーメールが自分のメールアドレスに送信されます。このとき、crontabタスクを作成して定期的に更新操作を行うことができます。
./certbot-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start" --force-renewal
--pre-hookパラメータは、更新操作を実行する前に何をするかを示します。-standaloneモードの証明書があるため、nginxサービスを停止し、ポートの占有を解放する必要があります。
–post-hookこのパラメーターは、更新操作の実行が完了した後の処理を示します。ここでは、nginxサービスの有効化を復元し
ます。–force-renewalこのパラメーターは、証明書の必須更新を示します。証明書が更新期間内にない場合、更新は更新されません。の
このコマンドは、デプロイされたすべての証明書を更新するためのものです。証明書を個別に更新する場合は、次のように-dパラメーターを使用します。 -d 'example.com'
詳細なパラメータコマンドは、このドキュメントにあります。