Let's Encrypt 证书 简介 Let's Encrypt —— 是一个由非营利性组织 互联网安全研究小组(ISRG)提供的免费、自动化和开放的证书颁发机构(CA),简单的说,就是为网站提供免费的 SSL/TLS 证书。 签发工具 Let's Encrypt 生成证书的工具很多,certbot 是官方推荐的签发工具,也可以通过在线服务申请,个人用户还是推荐通过工具生成证书。 这里推荐 acme.sh,它不仅有详细的中文文档,操作更为方便,还支持 Docker。 acme.sh 以 root 用户为例 在线安装 curl https://get.acme.sh | sh 安装过程: 1.home 目录下生成 .acme.sh 文件夹,查看文件夹内容:ls ~/.acme.sh/; 2.自动添加 bash alias: # ~/.bashrc 添加: . "/root/.acme.sh/acme.sh.env" # acme.sh.env 内容: # alias acme.sh="/root/.acme.sh/acme.sh"   相关命令 # 查看帮助 acme.sh -h # 查看列表 acme.sh --list # 卸载 acme.sh # 编辑 ~/.bashrc,删除 acme.sh alias acme.sh --uninstall 脚本更新 自动更新:acme.sh --upgrade --auto-upgrade 手动更新:acme.sh --upgrade 关闭更新:acme.sh --upgrade --auto-upgrade 0 证书申请 管理自己域名mydomain.com,配置指向所在服务器ip地址 在域名指向服务器上不依赖nginx生成证书,如果已经安装nginx,首先把nginx服务关闭(nginx 开启状态下会占用80端口) service nginx stop #关闭nginx 服务 执行以下命令: cd ~/.acme.sh/ .acme.sh --issue -d mydomain.com --standalone 执行成功后会在当前目录生成 所需证书   注:根据中国大陆工信部的规定,所有托管在中国大陆服务器上的网站均需要备案。 站点如未备案,80 端口处于禁用状态,acme.sh 无法使用 HTTP 验证域名所有权。 证书配置 生成的证书都在 home 目录下: ~/.acme.sh/ 导出证书 使用 --install-cert 命令 -d:域名 –key-file:私钥位置 –fullchain-file:证书位置 –reloadcmd:重载命令 .acme.sh --install-cert -d mydomain.com \ --key-file /websvr/ssl/mydomain.key \ --fullchain-file /websvr/ssl/fullchain.cer \ --reloadcmd "service nginx restart" Nginx 配置 server { listen 80; server_name mydomain.com; # 重定向到 https rewrite ^(.*)$ https://$host$1 permanent; } server { listen 443; server_name mydomain.com; root /websvr/www/mydomain.com; index index.html index.htm; access_log /dev/null; error_log /websvr/log/nginx/mydomain.com.error.log warn; # SSL 配置 ssl on; ssl_certificate /websvr/ssl/fullchain.cer; # 证书文件 ssl_certificate_key /websvr/ssl/mydomain.key; # 私钥文件 ssl_session_timeout 5m; # 会话缓存过期时间 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # 开启 SSL 支持 ssl_prefer_server_ciphers on; # 设置协商加密算法时,优先使用服务端的加密套件 } 重启 Nginx 服务: service nginx restart SSL 检测 https://myssl.com/ssl.html 更新证书 强制续签证书: acme.sh --renew -d mydomain.com --force

August 29, 2023 0comments 200hotness 0likes admin Read all