本文介绍了如何使用LetsEncrypt的Certbot在CentOS/RHEL系统上免费获取HTTPS证书,包括安装Certbot、通过epel-release启用额外仓库、独立模式获取证书、配置Nginx以及设置定期证书更新的cron任务。
申请免费的https证书
Let’s Encrypt
你可以使用 Let's Encrypt 来免费获取 HTTPS 证书。Let's Encrypt 是一个免费、开放和自动化的证书颁发机构,提供了一个工具叫做 Certbot,可以帮助你自动化获取和更新证书的过程。
CentOS/RHEL安装Certbot
-
安装certbot
sudo yum install epel-release sudo yum install certbot-
epel-release 为什么要安装这个?
epel-release 是一个包含了 Extra Packages for Enterprise Linux (EPEL) 仓库的软件包。EPEL 是由 Fedora 项目提供的一个为 RHEL 和 CentOS 等企业级 Linux 发行版提供高质量附加软件包的仓库。 安装 epel-release 可以让你的系统访问到 EPEL 仓库,这样你就可以安装那些在默认的 yum 仓库中没有的软件包。在这个情况下,certbot 就是一个这样的软件包,它在默认的 CentOS/RHEL 仓库中是不可用的,但是在 EPEL 仓库中是可用的。 所以,如果你在 CentOS 或 RHEL 上安装 Certbot,你需要先安装 epel-release 来启用 EPEL 仓库。
-
-
获取证书: 使用 Certbot 的 certonly 命令来只获取证书,不自动配置 Nginx。你需要提供你的域名和电子邮件地址。例如:
# 先关闭nginx sudo systemctl stop nginx sudo certbot certonly --standalone -d yourdomain.com -m your@email.com # 这将在 /etc/letsencrypt/live/yourdomain.com/ 目录下生成证书和私钥
-
注意
--standalone 插件选项告诉 Certbot 在独立模式下运行,而不是与现有的 web 服务器(如 Nginx 或 Apache)集成。在独立模式下,Certbot 将启动一个临时的、独立的 web 服务器来验证你的域名所有权,并获取证书。 这种模式适用于你的服务器上没有运行现有的 web 服务器,或者你希望 Certbot 在没有干扰现有 web 服务器的情况下获取证书。 请注意,在使用 --standalone 模式时,Certbot 将占用并监听 80 端口(HTTP 验证)和 443 端口(HTTPS 验证)。确保你的服务器上没有其他进程在使用这些端口,否则 Certbot 将无法正常工作。
-
配置 Nginx: 打开你的 Nginx 配置文件(通常在 /etc/nginx/sites-available/ 或 /etc/nginx/conf.d/ 目录下),然后在 server 块中添加以下行:
ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem; # 然后,确保你的 server 块正在监听 443 端口,并启用了 SSL: listen 443 ssl; -
重启 Nginx: 保存你的 Nginx 配置文件,然后重启 Nginx 以应用更改:
sudo systemctl restart nginx -
定时更新证书
Let's Encrypt 的证书每 90 天需要更新一次。你可以设置一个 cron 任务或 systemd 定时器来自动运行 certbot renew 命令。-
使用cron任务
-
打开终端并输入以下命令来编辑 cron 任务:
crontab -e -
在打开的编辑器中,添加以下行来设置每天自动更新证书的 cron 任务:
0 0 1 * * certbot renew --quiet # 这将在每月的第一天午夜(00:00)执行 certbot renew 命令,并使用 --quiet 参数以静默模式运行 -
保存并关闭文件。cron 任务将自动生效。
-
-
扫一扫
1882
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
