大牌提供商的SSL证书可不便宜,对于大公司也许不算什么,但是对于小公司及个人来说贵了。现在国外出现的免费SSL服务商Let’s Encrypt,绝对是小公司或者开发者的福音
前提条件
- 拥有一个域名,例如 mydemo.com (在国内主机的用的话,还需要通过ICP备案)
在域名服务器创建一条A记录,指向云主机的公网IP地址。例如demo.mydemo.com指向xxx.xxx.xxx.xxx的IP地址,要等到新创建的域名解析能在公网上被解析到。
据说国内的域名提供商对letsencrypt的支持非常差,但是经过试验,至少现阶段用dnspod解析的域名还没碰到问题。 - docker和docker-compose有一定的基础,且已经用docker部署了nginx环境
通过certbot脚本安装
没有特殊情况,首选采用certbot脚本方式。
由于letsencrypt证书的有效期只有90天,需要长期使用的话,需要在失效前进行延长申请。用certbot脚本工具,可以将延期申请的脚本写到定时任务来自动完成,非常方便。
1、安装certbot工具
yum install -y epel-release
yum install -y certbot
2、使用certbot命令申请证书
# 使用方法:certbot certonly --webroot -w [Web站点目录] -d [站点域名] -m [联系人email地址] --agree-tos
sudo certbot certonly --webroot -w /webser/www/blog -d mydemo.com -m li_xxxxx@163.com --agree-tos
注意:联系人email地址要填写真实有效的,letsencrypt会在证书在过期以前发送预告的通知邮件。 申请成功后,会显示以下Congratulations信息
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/mydemo.com/fullchain.pem. Your cert will
expire on 2017-03-20. To obtain a new or tweaked version of this
certificate in the future, simply run certbot again. To
non-interactively renew *all* of your certificates, run