从Github签出Let’s Encrypt的源代码
git clone https://github.com/letsencrypt/letsencrypt
如果系统没有安装git,https://www.cnblogs.com/lhbryant/p/6928894.html
进入本地源代码目录
cd letsencrypt
Let’s Encrypt提供多种认证方式,因为之前在VPS上有了HTTP的网站,所以这里采用了webroot的方式,其他方式请参考官方文档
主域名的认证
./letsencrypt-auto --debug certonly --webroot --email name@your_main_domain.com -d your_main_domain.com -d www.your_main_domain.com -w /var/www/your_main_domain.com
子域名的认证
./letsencrypt-auto --debug certonly --webroot --email name@your_main_domain.com -d subdomain.your_main_domain.com -w /var/www/your_main_domain.com/subdomain
然后在弹出的蓝底白字提示框中一路点击"OK"
注意如下问题
• 请将命令中的name, your_main_domain.com, subdomain替换成你自己的名字,域名以及子域名 • 因为Gentoo目前是在试验阶段,所以命令行加上--debug参数 • 参数--email如果没有在命令行加上,会在随后弹出的对话框里提示你填写 • -w指定Web服务器网址内容放置的目录,请指定自己放置的目录
生成的证书放在/etc/letsencrypt/live/[网站域名]
下
文件名 | 内容 |
---|---|
cert.pem | 服务端证书 |
chain.pem | 浏览器需要的所有证书但不包括服务端证书,比如根证书和中间证书 |
fullchain.pem | 包括了cert.pem和chain.pem的内容 |
privkey.pem | 证书的私钥 |
一般情况下 fullchain.pem
和 privkey.pem
就够用了
Nginx配置
我使用的是 lnmp 的一键安装包,打开 /usr/local/nginx/conf/vhost/
下 域名.conf
的文件,改成类似下面的设置。
server {
listen 80;
server_name www.slinvent.com slinvent.com;
return 301 https://$server_name$request_uri; } server { listen 443 ssl; #listen [::]:80; server_name www.slinvent.com slinvent.com; index index.html index.htm index.php default.html default.htm default.php; root /home/wwwroot/www.slinvent.com; ssl_certificate /etc/letsencrypt/live/slinvent.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/slinvent.com/privkey.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL; …… }
其中return 301 https://$server_name$request_uri;
是用来实现80端口到443端口的流量跳转的。
最后再执行:/etc/init.d/nginx reload
重新载入配置使其生效。
更新证书
./letsencrypt-auto renew
原文链接: https://www.jianshu.com/p/3cf4846e0dac