实战!安装Let’s Encrypt@CentOS、NGiNX

作者: | 2016-04-13
letsencrypt

Google、Cisco、Akamai、Mozilla、IdenTrust、苹果、微软等等的公司合推的非营利、开源、免费SSL认证的网络认证发放机构Let’s Encrypt从去年秋季开始发放免费但限期3个月SSL签证(可无限续期)之后,陆续已经超过有3百多万个网站使用,我也顺便这两天玩了一下,简单做个记录。 (H)

1.安装Bc、git、EPEL来源

yum -y install git bc epel-release

2-1.git方式下载Let’s Encrypt(推荐)

git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

2-2.一般方式下载Let’s Encrypt

cd /opt/
wget https://github.com/letsencrypt/letsencrypt/archive/v0.5.0.tar.gz
tar xf v*.tar.gz -C /opt/
mv letsencrypt-* letsencrypt
cd /opt/letsencrypt

letsencrypt_01

3.以Diffie-Hellman(迪菲-赫尔曼)交换算法产生密钥

openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

4.申请Let’s Encrypt认证,请注意修改以下三项:

[email protected] = 修改成使用中的信箱
guess.za.net = 修改成要申请的域名
/home/wwwroot/default/ = 修改成主机的网页根目录

mkdir -p /home/wwwroot/guess.za.net/.well-known/acme-challenge
cd /opt/letsencrypt
./letsencrypt-auto certonly --email [email protected] -d "guess.za.net" --webroot -w /home/wwwroot/guess.za.net/ --agree-tos

letsencrypt_02

成功后会产生三个档案,位置分别是:

/etc/ssl/certs/dhparam.pem
/etc/letsencrypt/live/guess.za.net/fullchain.pem
/etc/letsencrypt/live/guess.za.net/privkey.pem

5.设定NGiNX档案,在server区段内新增

※请注意修改成实际产生的位置※

设定完毕后先用此指令测试设定档有无出错

nginx -t

确认没问题之后才重启NGiNX,然后前往ssllabs.com检查SSL认证状态

letsencrypt_06letsencrypt_07

nginx -s reload
ps ax | grep nginx
netstat -atunp | grep nginx

letsencrypt_03

6.新增Let’s Encrypt的设定档来自动更新SSL

※请注意修改成使用中的信箱、要申请的域名、主机的网页根目录※

7.新增自动更新SSL认证的SH档案,内容如下:

※请注意修改成实际设定档的位置※

vi /root/renew-letsencrypt.sh

letsencrypt_04

记得给权限唷 :$

chmod +x /root/renew-letsencrypt.sh

8.设定自动排程,每月1号自动更新SSL认证

crontab -e

@monthly cd /opt/letsencrypt && git pull
@monthly /root/renew-letsencrypt.sh

参考资料:
http://letsencrypt.readthedocs.org/en/latest/using.html
https://www.godaddy.com/help/install-a-lets-encrypt-ssl-nginx-20246
https://codex.wordpress.org/Nginx
https://www.nginx.com/blog/free-certificates-lets-encrypt-and-nginx/
https://www.digitalocean.com/community/tutorials/how-to-secure-nginx-with-let-s-encrypt-on-centos-7

脸书回应

篇回应

发表回响

你的电子邮件位址并不会被公开。 必要字段标记为 *

(A)  :@  (brb)  (U)  (:cc)  :S  (H)  :-(  :cute  (6)  :-#  :$  :er  8-)  FUCK 
(})  ({)  GY  (L)  :kao  (K)  :cc  :pu  (F)  :(  ^o)  :-*  :O  +o(  |-) 
:)  (*)  :D  *-)  (N)  (Y)  :P  :|  (W)  ;)  XD 
 

这个网站采用 Akismet 服务减少垃圾留言。进一步了解 Akismet 如何处理网站访客的留言资料