letsencrypt
letsencrypt

实战!安装Let’s Encrypt@CentOS、NGiNX

Google、Cisco、Akamai、Mozilla、IdenTrust、苹果、微软等等的公司合推的非营利、开源、免费SSL认证的网络认证发放机构Let’s Encrypt从去年秋季开始发放免费但限期3个月SSL签证(可无限续期)之后,陆续已经超过有3百多万个网站使用,我也顺便这两天玩了一下,简单做个记录。 ?

1.安装Bc、git、EPEL来源
yum -y install git bc epel-release

2-1.git方式下载Let’s Encrypt(推荐)
git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

2-2.一般方式下载Let’s Encrypt

letsencrypt_01

3.以Diffie-Hellman(迪菲-赫尔曼)交换算法产生密钥
openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

4.申请Let’s Encrypt认证,请注意修改以下三项:
admin@guess.za.net = 修改成使用中的信箱
guess.za.net = 修改成要申请的域名
/home/wwwroot/default/ = 修改成主机的网页根目录
mkdir -p /home/wwwroot/guess.za.net/.well-known/acme-challenge
cd /opt/letsencrypt
./letsencrypt-auto certonly --email admin@guess.za.net -d "guess.za.net" --webroot -w /home/wwwroot/guess.za.net/ --agree-tos

letsencrypt_02
成功后会产生三个档案,位置分别是:
/etc/ssl/certs/dhparam.pem
/etc/letsencrypt/live/guess.za.net/fullchain.pem
/etc/letsencrypt/live/guess.za.net/privkey.pem

5.设定NGiNX档案,在server区段内新增
※请注意修改成实际产生的位置※

设定完毕后先用此指令测试设定档有无出错
nginx -t
确认没问题之后才重启NGiNX,然后前往ssllabs.com检查SSL认证状态
letsencrypt_06letsencrypt_07
nginx -s reload
ps ax | grep nginx
netstat -atunp | grep nginx

letsencrypt_03

6.新增Let’s Encrypt的设定档来自动更新SSL
※请注意修改成使用中的信箱、要申请的域名、主机的网页根目录※

7.新增自动更新SSL认证的SH档案,内容如下:
※请注意修改成实际设定档的位置※
vi /root/renew-letsencrypt.sh

letsencrypt_04
记得给权限唷 ?
chmod +x /root/renew-letsencrypt.sh

8.设定自动排程,每月1号自动更新SSL认证
crontab -e
@monthly cd /opt/letsencrypt && git pull
@monthly /root/renew-letsencrypt.sh

参考资料:
http://letsencrypt.readthedocs.org/en/latest/using.html
https://www.godaddy.com/help/install-a-lets-encrypt-ssl-nginx-20246
https://codex.wordpress.org/Nginx
https://www.nginx.com/blog/free-certificates-lets-encrypt-and-nginx/
https://www.digitalocean.com/community/tutorials/how-to-secure-nginx-with-let-s-encrypt-on-centos-7

关于 穷苦人家的小孩

In every democracy, the people get the government they deserve. ~Alexis de Tocqueville

您可能会喜欢

希志あい 希志爱野 Kishi Aino

VPS介绍 – AlphaVPS

今年黑五很超值的主机商一定要算 …