「LNMP」Let's Encrypt 配置

新版說明

安裝方法

如果是CentOS 6,先執(zhí)行:yum install epel-release

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n```
接下來就會(huì)自動(dòng)安裝所需的依賴包。
##生成證書
單域名生成證書:
`./certbot-auto certonly --email username@domain --agree-tos --webroot -w /websiteroot -d domain`
多域名單目錄生成單證書:
`./certbot-auto certonly --email username@domain --agree-tos --webroot -w /websiteroot -d domain1 -d domain2`
多域名多目錄生成多個(gè)證書:
`./certbot-auto certonly --email admin@vpser.net --agree-tos --webroot -w /websiteroot1 -d domain1 -d domain2 -w /websiteroot2 -d domain3 -d domain4`

##證書更新
進(jìn)入Let's Encrypt目錄,執(zhí)行`./certbot-auto renew`即可,建議添加Cron。

#舊版說明
##下載Let's Encrypt
首先把Let's Encrypt給git下來

git clone https://github.com/letsencrypt/letsencrypt.git
cd letsencrypt

無git時(shí)

wget -c https://github.com/letsencrypt/letsencrypt/archive/master.zip && unzip master.zip && cd letsencrypt-master

##創(chuàng)建臨時(shí)文件夾

mkdir -p /home/wwwroot/域名/.well-known/acme-challenge

##生成證書

./letsencrypt-auto certonly --email 郵箱 -d 域名 --webroot -w /網(wǎng)站目錄完整路徑 --agree-tos

##更新證書

cat >/root/renew-ssl.sh<<EOF

!/bin/bash

mkdir -p /網(wǎng)站目錄完整路徑/.well-known/acme-challenge
/root/letsencrypt/letsencrypt-auto --renew-by-default certonly --email 郵箱 -d 域名 --webroot -w /網(wǎng)站目錄完整路徑 --agree-tos
/etc/init.d/nginx reload
EOF
chmod +x /root/renew-ssl.sh

注意要修改上面letsencrypt-auto的路徑為你自己的,并且里面的郵箱和域名也要修改。
再crontab里添加上:0 3 */60 * * /root/renew-ssl.sh

#HTTPS配置
##Nginx新增部分

listen 443 ssl;
server_name my_server_name;
ssl_certificate /etc/letsencrypt/live/server_name/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/server_name/privkey.pem;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;


##Apache新增部分

<VirtualHost *:443>
DocumentRoot index_Root //網(wǎng)站目錄
ServerName ServerName:443 //域名
ServerAdmin Email //郵箱
SSLEngine onSSLCertificateFile /etc/letsencrypt/live/ServerName/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/ServerName/privkey.pem
<Directory "index_Root"> //網(wǎng)站目錄
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
Order allow,deny
Allow from all
DirectoryIndex index.html index.php
</Directory>
</VirtualHost>


#注:
1. 新增部分中,ServerName及相關(guān)路徑根據(jù)個(gè)人情況修改;
2. 本文非原創(chuàng),來自
    http://www.vpser.net/build/letsencrypt-free-ssl.html
    http://www.vpser.net/build/letsencrypt-certbot.html
#問題解決:
1. 編譯錯(cuò)誤、創(chuàng)建虛擬環(huán)境失敗
解決:簡(jiǎn)單粗暴卸載python相關(guān)所有軟件,并且重新安裝SS之后就好了。但是,為毛……
2. 只允許HTTPS訪問

server {
listen 80;
server_name my.domain.com;
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl;
server_name my.domain.com;
[....]
}

3. 國(guó)內(nèi)DNS不支持
解決:切換到國(guó)外
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容