http服務器簽發Lets Encrypt單域名和泛域名SSL證書
前提準備
任務時間:10min ~ 20min
擁有自己的域名,如果沒有可以在騰訊雲購買一個
一台系統為CentOS 7.6 64位的服務器
安裝nginx並且配置網站域名
任務時間:時間未知
安裝nginx並且啟動
yum install -y nginx
nginx
先看看nginx能否正常訪問
我們可以在瀏覽器打開http://<您的CVM IP 地址>/ 來確認一下,如果一切正常會看到下圖
接下來就是要把域名A記錄指向該服務器
本服務器IP為:<您的CVM IP 地址>
然後在域名服務商哪裡增加一個A記錄
增加A記錄之後,我們在瀏覽器訪問該域名,看看是否生效了
簽發證書
任務時間:時間未知
下載簽發證書需要的腳本
wget https://dl.eff.org/certbot-auto
chmod u+x certbot-auto
簽發單域名證書
簽發之前請注意先停止運行nginx,因為簽發需要佔用80和443端口,下面命令的郵箱和域名換成自己的,郵箱是證書快過期的時候服務商會發郵件提醒用的
nginx -s stop
./certbot-auto certonly --standalone -m abc@example.com --agree-tos -d abc.example.com
簽發過程只需要輸入y即可,如果簽發成功,則可以看到下圖
簽發完的證書在/etc/letsencrypt/live
當證書籤發完成之後我們就要配置nginx,例如我們可以在/etc/nginx/conf.d添加一個文件:www.conf
文件內容如下:
server {
listen 80;
listen 443 ssl;
server_name abc.example.com;
client_max_body_size 10M;
ssl_certificate /etc/letsencrypt/live/abc.example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/abc.example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/abc.example.com/chain.pem;
location / {
}
}
重新加載nginx配置文件,訪問我們的域名看看是否是信任的https網站
nginx
簽發泛域名證書
這個跟單域名證書籤發大同小異,僅僅是簽發命令不同,和還需要域名解析那邊增加一個txt記錄
首先簽發命令如下:
nginx -s stop
./certbot-auto certonly -d "*.yubang.app" -m yubang@yubangweb.com --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory
簽發過程中會出現下圖:
這個時候我們要在域名服務商那里新增一個txt記錄
然後回車即可
成功簽發如下圖:
然後nginx的配置跟單域名證書配置是一樣的