Let’s Encrypt免费SSL证书申请

02812
Let’s Encrypt是目前最主流的免费SSL证书提供商,证书有效期90天,支持自动续期。我用它给雨云服务器上的站点配过好几次,稳定得很。下面直接说怎么搞。 环境:Ubuntu 20.04+,Nginx/Apache,已经有一个指向服务器的域名。 最常用的工具是Certbot,官方推荐。安装方式: 
sudo apt update
sudo apt install certbot python3-certbot-nginx
如果用的是Apache,把`python3-certbot-nginx`换成`python3-certbot-apache`。如果服务器上跑的是其他Web服务,只装`certbot`就行,后面用手动模式。 申请证书前确保域名A记录已经解析到服务器IP,并且80端口和443端口能访问。Certbot申请证书时需要在服务器上验证域名所有权,它会临时监听80端口或443端口。 Nginx用户直接跑这条命令: 
sudo certbot --nginx -d example.com -d www.example.com
`-d`后面跟域名,可以多个。Certbot会自动修改Nginx配置,把HTTP重定向到HTTPS,同时配置SSL证书路径。执行过程中会问邮箱(用于接收证书到期通知),同意服务条款,选择是否开启HTTP到HTTPS的重定向。 Apache用户类似: 
sudo certbot --apache -d example.com -d www.example.com
如果不想让Certbot改Web服务器配置,或者用的不是Nginx/Apache,用纯手动模式: 
sudo certbot certonly --standalone -d example.com
这个命令会启动一个独立的Web服务器来验证域名。注意运行前要停掉占用80端口的服务,不然端口冲突。 申请成功后证书文件在`/etc/letsencrypt/live/example.com/`目录下: – `fullchain.pem`:完整证书链 – `privkey.pem`:私钥 手动配置Nginx SSL的话,在server块里加: 
listen 443 ssl;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
加个HTTP到HTTPS的重定向: 
server {
    listen 80;
    server_name example.com;
    return 301 https://$server_name$request_uri;
}
证书90天有效期,必须自动续期。Certbot自带续期命令: 
sudo certbot renew
这个命令会检查所有证书,如果距离到期不足30天就自动续期。建议加到crontab里,每天跑两次: 
sudo crontab -e
添加一行: 
0 0,12 * * * /usr/bin/certbot renew --quiet
`–quiet`表示没有错误就不输出日志。每天0点和12点各检查一次,保证证书不会过期。 如果想测试续期是否正常,可以干跑一次: 
sudo certbot renew --dry-run
这个不会真正续期,只是模拟流程,验证配置没问题。 有个坑要注意:如果服务器上同时跑多个站点,或者用了CDN,Certbot验证域名时可能失败。CDN模式下需要暂时关闭CDN代理,让请求直连服务器,等证书申请完再打开。或者在DNS服务商那边用DNS验证方式: 
sudo certbot certonly --manual --preferred-challenges dns -d example.com
这种方式需要你在域名DNS记录里加一个TXT记录,Certbot会验证这个记录。适合没有80端口访问权限的场景。 说下证书吊销。如果域名不再使用或者私钥泄露,吊销证书: 
sudo certbot revoke --cert-path /etc/letsencrypt/live/example.com/cert.pem
我一直在雨云服务器上跑这套流程,机器配置不高但Certbot续期从来没出过问题。如果用的是雨云,记得在安全组里放行443端口。其他云服务商操作大同小异,无非是防火墙规则位置不同。 搞定这些,你的站点就是HTTPS了,浏览器地址栏不会再有”不安全”的提示。

雨云是国内一家老牌云服务商,提供高性价比的云服务器和虚拟主机。我用它部署了好几个项目,速度和稳定性都不错。通过 https://www.rainyun.com/SAJA_ 注册可以领一张 5折优惠券,有需要的朋友可以看看。

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
未分类
喜欢就支持一下吧
点赞12 分享
阿杰的头像-阿杰の博客钻石会员
搭建自己的RSS订阅服务-阿杰の博客
搭建自己的RSS订阅服务
搭建自己的RSS订阅服务
27天前 88
Linux服务器常用命令大全-阿杰の博客
Linux服务器常用命令大全
Linux服务器常用命令大全
27天前 71
SSH密钥登录配置教程-阿杰の博客
SSH密钥登录配置教程
SSH密钥登录配置教程
27天前 68
独立博客如何获取第一批流量-阿杰の博客
独立博客如何获取第一批流量
独立博客如何获取第一批流量
27天前 55
Linux服务器入门命令大全-阿杰の博客
Linux服务器入门命令大全
Linux服务器入门命令大全
27天前 54
如何写出SEO友好的文章-阿杰の博客
如何写出SEO友好的文章
如何写出SEO友好的文章
13天前 54
相关推荐
搭建自己的RSS订阅服务-阿杰の博客
搭建自己的RSS订阅服务
搭建自己的RSS订阅服务
27天前 88
Linux服务器常用命令大全-阿杰の博客
Linux服务器常用命令大全
Linux服务器常用命令大全
27天前 71
SSH密钥登录配置教程-阿杰の博客
SSH密钥登录配置教程
SSH密钥登录配置教程
27天前 68
独立博客如何获取第一批流量-阿杰の博客
独立博客如何获取第一批流量
独立博客如何获取第一批流量
27天前 55
Linux服务器入门命令大全-阿杰の博客
Linux服务器入门命令大全
Linux服务器入门命令大全
27天前 54
如何写出SEO友好的文章-阿杰の博客
如何写出SEO友好的文章
如何写出SEO友好的文章
13天前 54
评论 抢沙发

请登录后发表评论

    暂无评论内容