Let's Encrypt 这个来头超大的,免费推广 HTTPS 的项目,实在是利国利民的大好事。现在就让我们开启自己的 HTTPS 之旅吧。
官网介绍:[url]https://letsencrypt.org/[/url]
[color=red][b]前提[/b][/color]:需要有域名解析到自己的服务器,否则无法申请到证书。虽然网上有说最好使用海外的 DNS, 但是实测 DNSPod 是可以的。
下面来具体说一下 Ubuntu 下 Apache 如何使用 Let's Encrypt 开启 HTTPS。
[b]申请 Let's Encrypt 免费 SSL 证书[/b]
首先,先停止 Apache 服务:
其它插件说明:
[url]http://letsencrypt.readthedocs.io/en/latest/using.html#getting-certificates-and-choosing-plugins[/url]
[color=red][b]注意[/b][/color]:如果使用是的国内的 VPS 或云服务器的话,在自动下载必要软件时,可能会一直卡在 “Installing Python packages...” 这个地方,原因大家应该懂的, Python 源被和谐了。因此可以替换掉 PyPI 源(可以使用 豆瓣 或 阿里云 的镜像源,推荐使用豆瓣镜像源,因为这个源数据更加新一些)。新建或编辑如下文件: ~/.pip/pip.conf(注意,如果文件夹不存在的话,要先创建文件夹再创建文件),并添加如下内容:
即使使用了镜像源,速度也可能挺慢的,耐心等一下吧,至少不会出现无法下载的情况。
最终执行完结果如下:
[img]http://dl2.iteye.com/upload/attachment/0123/8987/f9f19fb3-fbbc-3733-b295-96afdfac55b8.png[/img]
[b]其它下载方法[/b]:
也可以不下载源代码,直接从官网下载可执行文件:
如果不希望使用插件,而仅仅是生成证书,自己进行 SSL 配置的话,可以使用如下命令:
其中有四个证书文件:
cert.pem - Apache 服务器端证书(若 Apache < 2.4.8 对应 SSLCertificateFile)
chain.pem - Apache 根证书和中继证书(若 Apache < 2.4.8 对应 SSLCertificateChainFile)
fullchain.pem - Nginx 所需要 ssl_certificate 文件(若 Apache >= 2.4.8 对应 SSLCertificateFile)
privkey.pem - 安全证书 KEY 文件(私钥)
修改 Apache SSL 配置文件:
添加转发规则(需要启用 rewrite 模块):
创建或编辑 .htaccess 文件,并追加如下内容:
[b]续期[/b]
虽然 Let's Encrypt 证书的有效期只有 90 天,不过我们可以手动或自动的进行续期。
下面这个命令是测试是否可以“续期”,并不会保存证书:
[color=red][b]提示[/b][/color]:官网建议每天执行两次续期命令,并且选择一个随机时间执行续期任务,以防止任何未知原因导致无法正常续期。不要担心每天执行续期命令会有什么负面影响,因为只有当证书真正需要续期时,续期命令才会真正起作用。
参考网址:
[url]https://github.com/certbot/certbot[/url]
[url]https://certbot.eff.org/#ubuntuxenial-apache[/url]
[url]https://certbot.eff.org/docs/using.html#where-are-my-certificates[/url]
[url]http://www.laozuo.org/7676.html[/url]
[url]https://www.zyx.im/no-response-of-installing-python-packages/[/url]
官网介绍:[url]https://letsencrypt.org/[/url]
[color=red][b]前提[/b][/color]:需要有域名解析到自己的服务器,否则无法申请到证书。虽然网上有说最好使用海外的 DNS, 但是实测 DNSPod 是可以的。
下面来具体说一下 Ubuntu 下 Apache 如何使用 Let's Encrypt 开启 HTTPS。
[b]申请 Let's Encrypt 免费 SSL 证书[/b]
首先,先停止 Apache 服务:
systemctl stop apache2git clone https://github.com/certbot/certbot
cd certbot
./certbot-auto --apache --email <your email> -d m3q.xyz -d www.m3q.xyz其它插件说明:
[url]http://letsencrypt.readthedocs.io/en/latest/using.html#getting-certificates-and-choosing-plugins[/url]
[color=red][b]注意[/b][/color]:如果使用是的国内的 VPS 或云服务器的话,在自动下载必要软件时,可能会一直卡在 “Installing Python packages...” 这个地方,原因大家应该懂的, Python 源被和谐了。因此可以替换掉 PyPI 源(可以使用 豆瓣 或 阿里云 的镜像源,推荐使用豆瓣镜像源,因为这个源数据更加新一些)。新建或编辑如下文件: ~/.pip/pip.conf(注意,如果文件夹不存在的话,要先创建文件夹再创建文件),并添加如下内容:
# 豆瓣源
[global]
index-url=https://pypi.doubanio.com/simple/
[install]
trusted-host=pypi.doubanio.com# 阿里云源
[global]
index-url=http://mirrors.aliyun.com/pypi/simple/
[install]
trusted-host=mirrors.aliyun.com即使使用了镜像源,速度也可能挺慢的,耐心等一下吧,至少不会出现无法下载的情况。
最终执行完结果如下:
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/m3q.xyz/fullchain.pem. Your cert will expire
on 2017-06-22. To obtain a new or tweaked version of this
certificate in the future, simply run certbot-auto again with the
"certonly" option. To non-interactively renew *all* of your
certificates, run "certbot-auto renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le[img]http://dl2.iteye.com/upload/attachment/0123/8987/f9f19fb3-fbbc-3733-b295-96afdfac55b8.png[/img]
[b]其它下载方法[/b]:
也可以不下载源代码,直接从官网下载可执行文件:
wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto如果不希望使用插件,而仅仅是生成证书,自己进行 SSL 配置的话,可以使用如下命令:
./certbot-auto certonly --standalone --email <your email> -d m3q.xyz -d www.m3q.xyz其中有四个证书文件:
cert.pem - Apache 服务器端证书(若 Apache < 2.4.8 对应 SSLCertificateFile)
chain.pem - Apache 根证书和中继证书(若 Apache < 2.4.8 对应 SSLCertificateChainFile)
fullchain.pem - Nginx 所需要 ssl_certificate 文件(若 Apache >= 2.4.8 对应 SSLCertificateFile)
privkey.pem - 安全证书 KEY 文件(私钥)
修改 Apache SSL 配置文件:
vim /etc/apache2/sites-available/default-ssl.confSSLCertificateFile /etc/letsencrypt/live/50d.win/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/50d.win/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/50d.win/chain.pemsystemctl start apache2添加转发规则(需要启用 rewrite 模块):
创建或编辑 .htaccess 文件,并追加如下内容:
RewriteEngine on
#RewriteCond %{HTTPS} off
#RewriteCond %{SERVER_PORT} 80
RewriteCond %{SERVER_PORT} !^443$
#RewriteRule (.*) https://%{SERVER_NAME}/$1 [R]
RewriteRule ^(.*)$ https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]
[b]续期[/b]
虽然 Let's Encrypt 证书的有效期只有 90 天,不过我们可以手动或自动的进行续期。
下面这个命令是测试是否可以“续期”,并不会保存证书:
./certbot-auto renew --dry-run --agree-tos./certbot-auto renew --quiet[color=red][b]提示[/b][/color]:官网建议每天执行两次续期命令,并且选择一个随机时间执行续期任务,以防止任何未知原因导致无法正常续期。不要担心每天执行续期命令会有什么负面影响,因为只有当证书真正需要续期时,续期命令才会真正起作用。
参考网址:
[url]https://github.com/certbot/certbot[/url]
[url]https://certbot.eff.org/#ubuntuxenial-apache[/url]
[url]https://certbot.eff.org/docs/using.html#where-are-my-certificates[/url]
[url]http://www.laozuo.org/7676.html[/url]
[url]https://www.zyx.im/no-response-of-installing-python-packages/[/url]
扫一扫
447
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
