本文介绍如何在Linux环境下使用certbot为Nginx服务器安装Let'sencrypt免费SSL证书,并配置Nginx以实现HTTPS加密连接。文章详细说明了安装openssl、certbot,生成DH参数文件及SSL证书的过程。
安装与配置过程不算复杂:
1、安装openssl和certbot
sudo apt-get install openssl ssl-cert
sudo apt-get install python-certbot-nginx -t stretch-backportscertbot安装命令和Linux发行版有关,详情请查看 https://certbot.eff.org/
2、生成DH参数文件(可选)
sudo openssl dhparam -out /etc/nginx/dhparams.pem 20483、获取Let's encrypt免费SSL证书
sudo certbot certonly --webroot -w /var/www/XXX/ -d www.XXX.com注意:把上面命令中的“var/www/XXX/”和“www.XXX.com”替换成你真正的网站目录和域名。中间需要输入邮箱信息并有少量其他提示。最后生成的证书文件位于 /etc/letsencrypt/live/www.XXX.com/ 目录下。
4、启用SSL证书
在nginx相应的server设置中添加/修改以下设置:
listen 443 ssl;
server_name www.XXX.com;
root /var/www/XXX;
ssl on;
ssl_certificate /etc/letsencrypt/live/www.XXX.com/cert.pem;
ssl_certificate_key /etc/letsencrypt/live/www.XXX.com/privkey.pem;
ssl_dhparam /etc/nginx/dhparams.pem;如果需要全站使用HTTPS可在80端口服务配置中使用301跳转。保存后重载nginx设置:
sudo /etc/init.d/nginx reload5、证书定期更新
Let's encrypt证书有效期仅90天,设置/etc/crontab让它每周检查一次(有效期小于30天才更新):
0 22 * * 6 root certbot renew --dry-run && /etc/init.d/nginx reload
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
