申请免费的SSL证书
目前SSL证书大部分都是要收费的。对于企业网站,建议还是花点钱买个安心吧,而对于个人网站,可以选择免费的Let's encrypt。
安装SSL证书的过程并不复杂,第一步是申请证书,第二步是在Nginx中配置证书路径。
(1)安装certbot工具
yum install epel-release
yum install certbot
这个工具会在 你的网站根目录(也就是/usr/local/nginx/html)/.well-known 生成特殊的文件,在申请证书时,Let's Encrypt 服务会通过 http 来访问此文件,以签证服务器,所以在使用 certbot 获取证书之前,你要确保可以浏览器中能够通过http正常访问服务器。
(2)申请证书
certbot certonly -a webroot --webroot-path=/usr/local/nginx/html -d xxx.com -d www.xxx.com
最终会在 /etc/letsencrypt/live/xxx.com 下,生成四个 PEM 文件
cert.pem: 域名证书
chain.pem:Let's Enctrypt chain certificate
fullchain.pem:cert.pem 和 chain.pem 组成
privkey.pem:证书的私钥
我们需要用到的是后面的两个:fullchain.pem和privkey.pem
(3)在Nginx中应用证书
这一步见下一部分的具体配置。
(4)配置自动更新证书
因为 Let's Encrypt 的证书有效期是90天,到期前要更新证书。certbot 提供了更新证书的命令 cerbot renew。添加一个 conb job 来实现自动更新