如何在Nginx上部署 Let's Encrypt 证书

如何在Nginx上部署 Let's Encrypt 证书

一、安装certbot
$ sudo yum install epel-release
$ sudo yum install certbot

二、为域名申请一个证书
-w后面是站点根目录
-d后面是站点域名，如果多个域名，可以使用多个-d参数，每个-d参数跟一个域名，-d之间用空格分开
certbot certonly --webroot -w 站点根目录 -d 站点域名

提示输入邮箱，用于紧急通知以及密钥恢复

阅读文档，选Agree即可
如果成功证书和私钥会保存在/etc/letsencrypt/live/站点域名/ 中
三、nginx配置证书ssl_certificate /etc/letsencrypt/live/站点域名/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/站点域名/privkey.pem;

重启nginx服务器
四、证书自动续期
证书有效期为90天，所以需要写一个定时任务
#minute hour day month week command
0 0,12 * * * certbot renew > /var/log/certbot.log & echo certbot last renew at `date` >> /var/log/certbot.log

在每天0点和12点会更新一次证书，并将结果保存到/var/log/certbot.log日志中。

Let's Encrypt是国外一个公共的免费SSL项目，由 Linux 基金会托管，它的来头不小，由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起，目的就是向网站自动签发和管理免费证书，以便加速互联网由HTTP过渡到HTTPS，目前Facebook等大公司开始加入赞助行列。 Let's Encrypt已经得了 IdenTrust 的交叉签名，这意味着其证书现在已经可以被Mozilla、Google、Microsoft和Apple等主流的浏览器所信任，你只需要在Web 服务器证书链中配置交叉签名，浏览器客户端会自动处理好其它的一切，Let's Encrypt安装简单，未来大规模采用可能性非常大。 Let's Encrypt虽然还在测试当中，但是市场需求非常大，已经有非常多的朋友迫不及待地安装并用上了Let's Encrypt。Let's Encrypt向广大的网站提供免费SSL证书，不管是对于网站站长、互联网用户，还是对整个Web互联网，都是非常有利的，它有利于整个互联网的安全。 本篇文章就来为大家讲解一下如何获取Let's Encrypt免费SSL证书，并附上Apache和Nginx的SSL证书配置方法。 免费SSL证书Let's Encrypt安装使用教程:Apache和Nginx配置方法