Let’s Encrypt永久免费SSL

Let’s Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起,主要的目的也是为了推进网站从HTTP向HTTPS过度的进程,目前已经有越来越多的商家加入和赞助支持。

获取Let’s Encrypt免费SSL证书

系统环境

centos7.6 x64

获取证书

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./certbot-auto --help all
./certbot-auto certonly --standalone --email xxx@163.com -d yangxx.net -d www.yangxx.net

注意:

修改 邮箱和域名为自己的

Let’s Encrypt免费SSL证书应用

在完成Let’s Encrypt证书的生成之后,我们会在”/etc/letsencrypt/live/yangxx.net/”域名目录下有4个文件就是生成的密钥证书文件。

cert.pem – Apache服务器端证书
chain.pem – Apache根证书和中继证书
fullchain.pem – Nginx所需要ssl_certificate文件
privkey.pem – 安全证书KEY文件

如果我们使用的Nginx环境,那就需要用到fullchain.pem和privkey.pem两个证书文件,

nginx中配置

ssl_certificate /etc/letsencrypt/live/www.yangxx.net/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/www.yangxx.net/privkey.pem;

Let’s Encrypt免费SSL证书有效期问题

Let’s Encrypt证书是有效期90天的,需要我们自己手工更新续期才可以。下面通过脚本定期执行 自动续期

脚本内容

#!/bin/bash
# 停止nginx
/web/soft/nginx-1.15/sbin/nginx -s stop
# 续签
# --force-renew 强制更新
/root/ssl/certbot-auto renew --force-renew
# 启动nginx
/web/soft/nginx-1.15/sbin/nginx

定时任务中加入

0 4 1 */2 * /root/ssl/renew-cert.sh >/root/ssl/crontab.log 2>&1

本博客所有内容采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可

转载文章请注明:免费https证书获取(Let’s Encrypt) - https://yangxx.net/?p=3753

分类: linux

young

记住该记住的,忘记该忘记的,改变能改变的,接受不能改变的!

发表评论

电子邮件地址不会被公开。 必填项已用*标注

我不是机器人*