Certbot申请免费的HTTPS证书

Certbot的免费证书配置

获取SSL证书
理论上，我们自己也可以手动制作一个 SSL 安全证书，但是我们自己签发的安全证书浏览器信任，所以我们需要被信任的证书授权中心（ CA ）签发的安全证书。而一般的 SSL 安全证书签发服务都需要付费，且价格昂贵，不过为了加快推广 https 的普及， EEF 电子前哨基金会、 Mozilla 基金会和美国密歇根大学成立了一个公益组织叫 ISRG （ Internet Security Research Group ），这个组织从 2015 年开始推出了 Let’s Encrypt 免费证书。这个免费证书不仅免费，而且还相当好用，所以我们就可以利用 Let’s Encrypt 提供的免费证书部署 https 了。

接下来就进入远端服务器，进行安装与配置：

· 获取certbot-auto

wget https://dl.eff.org/certbot-auto
chmod a+x ./certbot-auto
./certbot-auto --help

· 生成证书（以chennick.wang为例）

./certbot-auto --server
https://acme-v02.api.letsencrypt.org/directory -d "chennick.wang" -d "*.chennick.wang"
--manual --preferred-challenges dns-01 certonly

注意：

生成的过程中会让你添加域名记录，注意类型是TXT如下图：

添加完之后去下面 路径检查一下密钥是否生成:

下面就来看看怎么配置虚拟主机：

· 在 /etc/nginx/conf.d 路径下新建一个 ssl.conf 配置如下:

# ssl on;
# listen 443 ssl;
ssl_certificate       /etc/letsencrypt/live/chennick.wang/fullchain.pem;
ssl_certificate_key   /etc/letsencrypt/live/chennick.wang/privkey.pem;

# openssl dhparam -out /etc/ssl/private/dhparam.pem 2048
ssl_protocols TLSv1.3 TLSv1.2;
ssl_ciphers TLS13-AES-256-GCM-SHA384:
TLS13-CHACHA20-POLY1305-SHA256:
TLS13-AES-128-GCM-SHA256:
TLS13-AES-128-CCM-8-SHA256:
TLS13-AES-128-CCM-SHA256:
TLS_AES_256_GCM_SHA384:
TLS_CHACHA20_POLY1305_SHA256:
TLS_AES_128_GCM_SHA256:
ECDHE-ECDSA-AES256-GCM-SHA384:
ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305:
ECDHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256:
ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384:
ECDHE-RSA-AES256-SHA384:
ECDHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256;
ssl_prefer_server_ciphers on;    # Forward Secrecy
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 30m;

· 要注意 ‘ssl_certificate’ 和 ‘ssl_certificate_key’ 这俩参数要配置上面生成密钥的路径

打开同在 /etc/nginx/conf.d 下的 default2.conf：

把listen改成 443 ssl，最后保存退出，重启一下nginx

到浏览器去查看配置情况，浏览器输入网址 https://nginx2.chennick.wang

网页是呈现出来了，来看看证书，点击下图红色箭头指的地方

配置了这个证书之后，我的chennick.wang下的所有二级域名，都将通用，无需再次单独配

过期时间的问题，证书每三个月会过期，但是可以无限续签，邮箱会通知你

· 首先使用命令行看看证书是否过期了

先看看手动续签，使用命令行：

./certbot-auto renew
# 如果提示未到期，cert not due for renewal，可以强制更新如下
./certbot-auto renew --force-renew
# 看到success表示成功了

接下来是自动续签：

· 写一个renew-cert.sh

#!/bin/bash
# 停止nginx
nginx -s stop

# 续签
/root/certbot-auto renew --force-renew

# 重启nginx
nginx -s reload

· 给所有的用户添加执行 renew-cert.sh 这个文件的权限

chmod a+x renew-cert.sh

· 使用crontab添加定时任务，自动更新https证书

0 4 1 */2 * /root/renew-cert.sh > /root/crontab.log 2>&1