免費(fèi)SSL證書Let’s Encrypt安裝使用教程：Apache和Nginx配置SSL3

天天向上wish 2018-01-22

展開(kāi)全文

四、 Ngnix配置Let's Encrypt免費(fèi)SSL

1、注意查看你的Let's Encrypt免費(fèi)SSL證書保存位置，一般是在/etc/letsencrypt/live/freehao123.com這樣的下面。

Let's Encrypt證書保存位置

2、fullchain.pem就是公鑰，privkey.pem就是私鑰。有了這兩個(gè)文件我們就可以在Ngnix上配置SSL證書了。OneinStack一鍵工具在創(chuàng)建虛擬主機(jī)時(shí)可以選擇為網(wǎng)站配置SSL。

Let's Encrypt一鍵配置SSL

3、如果有用OneinStack，那么最簡(jiǎn)單的方法就是用fullchain.pem和privkey.pem替代原來(lái)生成的CRT和Key文件，這樣做的好處就可以保留Ngnix配置的SSL證書路徑，只要簡(jiǎn)單修改引用的公鑰和私鑰即可。

Let's Encrypt替換原來(lái)的SSL

4、當(dāng)然，為了后面的操作方便，我們建議保留Let's Encrypt生成的SSL證書，直接在網(wǎng)站的配置中修改SSL證書引用路徑。使用VPS主機(jī)創(chuàng)建網(wǎng)站時(shí)會(huì)為網(wǎng)站生成一個(gè).conf文件。

Let's Encrypt主機(jī)配置文件

5、這個(gè)這個(gè).conf文件，直接替換掉ssl_certificate和ssl_certificate路徑即可，如下圖：

Let's Encrypt修改代碼

6、OneinStack的Nginx配置SSL證書代碼示例：

server {
listen 443 ssl http2;
ssl_certificate /etc/letsencrypt/live/freehao123.org/fullchain.pem;//改動(dòng)地方1
ssl_certificate_key /etc/letsencrypt/live/freehao123.org/privkey.pem;//改動(dòng)地方2
ssl_session_timeout 10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-SHA384:ECDHE-RSA-:ECDHE:!DES:!3DES:!MD5:!DSS:!PKS;
ssl_session_cache builtin:1000 shared:SSL:10m;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
server_name www.freehao123.org freehao123.org;
access_log /data/wwwlogs/www.freehao123.org_nginx.log combined;
index index.html index.htm index.php;
include /usr/local/nginx/conf/wordpress.conf;
root /data/wwwroot/www.freehao123.org;
if ($host != www.freehao123.org) {
    rewrite ^/(.*)$ $scheme://www.freehao123.org/$1 permanent;
    }
server {
listen 80;
server_name www.freehao123.org;
rewrite ^/(.*) https://$server_name/$1 permanent;
}

7、最后重啟Nginx，打開(kāi)瀏覽器就可以看到SSL證書已經(jīng)成功配置好了。

Let's Encrypt配置成功

8、對(duì)于安裝了LNMP的朋友，可以參考以下代碼修改自己的Nginx配置。

server
{
listen 443 ssl;
   //如果需要spdy也可以加上,lnmp1.2及其后版本都默認(rèn)支持spdy,lnmp1.3 nginx 1.9.5以上版本
    默認(rèn)支持http2
server_name www.freehao123.com;     //域名
index index.html index.htm index.php default.html default.htm default.php;
root /home/wwwroot/www.freehao123.com;            //網(wǎng)站目錄
ssl_certificate /etc/letsencrypt/live/www.freehao123.com/fullchain.pem;    //前面生成的證書
ssl_certificate_key /etc/letsencrypt/live/www.freehao123.com/privkey.pem;   //前面生成的密鑰
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;

include wordpress.conf;  //這個(gè)是偽靜態(tài)
#error_page 404 /404.html;
location ~ [^/]\.php(/|$)
{
# comment try_files $uri =404; to enable pathinfo
try_files $uri =404;
fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_index index.php;
include fastcgi.conf;     //lnmp 1.0及之前版本替換為include fcgi.conf;
#include pathinfo.conf;
}

五、Apache配置Let's Encrypt免費(fèi)SSL

1、首先，我們需要對(duì)Apache的配置進(jìn)行修改，打開(kāi) /usr/local/apache/conf/httpd.conf ，查找httpd-ssl將前面的#去掉，然后執(zhí)行命令（注意將路徑換你自己的）：

    cat >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
    Listen 443
    AddType application/x-x509-ca-cert .crt
    AddType application/x-pkcs7-crl .crl
    SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
    SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
    SSLHonorCipherOrder on
    SSLProtocol all -SSLv2 -SSLv3
    SSLProxyProtocol all -SSLv2 -SSLv3
    SSLPassPhraseDialog builtin
    SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
    SSLSessionCacheTimeout 300
    SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
    EOF

2、接著，在你創(chuàng)建的網(wǎng)站的Apache配置的最后</VirtualHost>下面添加上SSL部分的配置文件：

<VirtualHost *:443>
DocumentRoot /home/wwwroot/www.freehao123.com   //網(wǎng)站目錄
ServerName www.freehao123.com:443   //域名
ServerAdmin admin@freehao123.com      //郵箱
ErrorLog "/home/wwwlogs/www.freehao123.com-error_log"   //錯(cuò)誤日志
CustomLog "/home/wwwlogs/www.freehao123.com-access_log" common    //訪問(wèn)日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.freehao123.com/fullchain.pem   //之前生成的證書
SSLCertificateKeyFile /etc/letsencrypt/live/www.freehao123.com/privkey.pem    //之前生成的密鑰
<Directory "/home/wwwroot/www.freehao123.com">   //網(wǎng)站目錄
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
Order allow,deny
Allow from all
DirectoryIndex index.html index.php
</Directory>
</VirtualHost>

3、最后就是重啟Apache，然后打開(kāi)瀏覽器就可以看到SSL證書配置成功了。

Let's Encrypt訪問(wèn)SSL成功

六、 Let's Encrypt免費(fèi)SSL證書續(xù)期

1、Let's Encrypt免費(fèi)SSL證書有效期是90天，也就是每三個(gè)月你就得續(xù)期一次。采用官方的方法獲取到的免費(fèi)SSL證書，你不需要更改Apache和Nginx配置代碼，執(zhí)行以下代碼即可自動(dòng)替換證書為新的（注意修改域名和郵箱）：

./letsencrypt-auto certonly --renew-by-default --email freehao123@gmail.com
 -d freehao123.org -d www.freehao123.org

2、采用上面腳本快速獲取Let's Encrypt免費(fèi)SSL證書的，在90天內(nèi)再次執(zhí)行命令即可：./letsencrypt.sh letsencrypt.conf。

Let's Encrypt證書續(xù)期

3、cron 定時(shí)任務(wù)。每個(gè)月自動(dòng)更新一次證書，可以在腳本最后加入 service nginx reload等重新加載服務(wù)。

0 0 1 * * /etc/nginx/certs/letsencrypt.sh /etc/nginx/certs/letsencrypt.conf >>
 /var/log/lets-encrypt.log 2>&1

七、Let's Encrypt免費(fèi)SSL證書使用小結(jié)

Let's Encrypt免費(fèi)SSL證書獲得方式比較簡(jiǎn)單，不管采用何種方式，只要能夠得到證書和密鑰，我們就可以在自己的服務(wù)器上配置好SSL。上面講到了Apache和Nginx的配置方法，如果你有自己的虛擬主機(jī)面板，可以直接通過(guò)后臺(tái)添加證書和私鑰文件即可。

Let's Encrypt各大瀏覽器支持

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來(lái)自：天天向上wish > 《待分類》

舉報(bào)/認(rèn)領(lǐng)