Let’s Encrypt SSL证书创建及配置

首先介绍一下Let’s Encryp吧,Let's Encrypt是国外一个公共的免费SSL项目,由 Linux 基金会托管,它的来头不小,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,目的就是向网站自动签发和管理免费证书,以便加速互联网由HTTP过渡到HTTPS,目前Facebook等大公司开始加入赞助行列。
Let's Encrypt已经得了 IdenTrust 的交叉签名,这意味着其证书现在已经可以被Mozilla、Google、Microsoft和Apple等主流的浏览器所信任,你只需要在Web 服务器证书链中配置交叉签名,浏览器客户端会自动处理好其它的一切,Let's Encrypt安装简单,未来大规模采用可能性非常大。
TIM截图20170531154102.png

上面说的基本是废话,应该没人看。下面开始进入正文。

申请证书
首先,将需要申请的域名解析到你的vps的ip(注意:Let's encrypt的免费SSL证书不支持泛域名,所以需要将你所有想申请证书的子域名都解析过去),然后连接上vps的终端,执行以下命令来获得申请工具

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt

然后暂停掉web服务并开放防火墙(这步具体执行的操作请根据实际情况自行修改)

service nginx stop
service iptables stop

上面的完成后我们就开始申请证书吧

./letsencrypt-auto certonly --standalone -d example.com -d www.example.com

(每个-d参数后面跟一个域名,需要申请几个域名的证书就跟几个,需要确认这些域名都解析到当前vps的ip上)
执行后会自动安装运行环境,并要求你输入邮箱,并同意协议,按照提示走就行。
完成后会有如下提示:

Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
expire on xxxx-xx-xx. To obtain a new version of the certificate in
the future, simply run Let's Encrypt again.

你的证书就申请好了,去它上面提示的目录里,fullchain.pem即为证书文件,private.pem即为私钥

注意:申请到的证书有效期3个月,到期后需要用如下命令重新续期:

  ./letsencrypt-auto renew

相关文章

热门文章

花落尘埃,等一人归来,静听雨打窗台。
朱门微开,留倩影徘徊,遥寄千里之外。

添加新评论