第一、安裝Let's Encrypt前的準備工作
根據官方的要求,我們在VPS、服務器上部署Let's Encrypt免費SSL證書之前,需要系統支持Python2.7以上版本以及支持GIT工具。
第二、快速獲取Let's Encrypt免費SSL證書
獲取證書和佈局還是比較複雜的,Let's Encrypt肯定是考慮到推廣HTTPS的普及型會讓用戶簡單的獲取和部署SSL證書,所以可以採用下面簡單的一鍵部署獲取證書。
```
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto certonly --standalone --email [email protected] -d www.test.com
```
然後執行上面的腳本,我們需要根據自己的實際站點情況將域名更換成自己需要部署的。
稍微注意一下:如果nginx在啟動的情況下,可能生成不了證書,請關閉nginx,在執行上方腳本。
第三、Let's Encrypt免費SSL證書獲取與應用
在完成Let's Encrypt證書的生成之後,我們會在"/etc/letsencrypt/live/www.test.com/"域名目錄下有4個文件就是生成的密鑰證書文件。
cert.pem - Apache服務器端證書
chain.pem - Apache根證書和中繼證書
fullchain.pem - Nginx所需要ssl_certificate文件
privkey.pem - 安全證書KEY文件
我使用的Nginx環境,那就需要用到fullchain.pem和privkey.pem兩個證書文件。
```
ssl on;
ssl_certificate /etc/letsencrypt/live/www.test.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/www.test.com/privkey.pem;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
```
在Nginx環境中,只要將對應的ssl_certificate和ssl_certificate_key路徑設置成我們生成的2個文件就可以,最好不要移動和複製文件,因為續期的時候直接續期生成的目錄文件就可以,不需要再手工複製。
第四、解決Let's Encrypt免費SSL證書有效期問題
我們從生成的文件中可以看到,Let's Encrypt證書是有效期90天的,需要我們自己手工更新續期才可以。
```
./letsencrypt-auto certonly --renew-by-default --email [email protected] -d www.test.com
```
這樣我們在90天內再去執行一次就可以解決續期問題,這樣又可以繼續使用90天。如果我們怕忘記的話也可以製作成定時執行任務,比如每個月執行一次。
```
0 0 1 */2 * /{path}/certbot-auto renew --post-hook "systemctl reload nginx"
```
第五、關於Let's Encrypt免費SSL證書總結
A - 域名DNS和解析問題。在配置Let's Encrypt免費SSL證書的時候域名一定要解析到當前VPS服務器,而且DNS必須用到海外域名DNS,如果用國內免費DNS可能會導致獲取不到錯誤。
B - 安裝Let's Encrypt部署之前需要服務器支持PYTHON2.7以及GIT環境,要不無法部署。
C - 需要關閉nginx代理服務器,執行生成證書命令才能生成證書成功。
D - Let's Encrypt默認是90天免費,需要手工或者自動續期才可以繼續使用。