永久免费SSL安全证书Letsencrypt安装使用教程

letsencrypt一直以来SSL安全证书(简而言之就是支持https://)就是网站特别是商务网站的必备,大家在选购VPS的时候也务必避开那些没有SSL安全证书的商家。LetsEncrypt在出现之初就引起了不少关注,这种宣称永久免费的SSL证书,对于少则2美元/年,多则上百美元的商业产品算是不小的冲击,虽然前面也有StartSSL等免费的先例,但是LetsEncrypt因为有Mozilla、Cisco的参与而让人产生了不少的好感。最近,Letsencrypt终于现身了公测版(不用再去申请内测资格了),微魔今天顺便和大家分享安装和使用的教程。

Letsencrypt安装、使用教程

安装前,系统需要安装Python(2.7版本以上)和Git,相关安装教程请自行搜索,大多数情况下使用系统自带的yum或者apt-get命令即可,Redhat或CentOS 6可能需要配置EPEL软件源

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto certonly --standalone --email admin@thing.com -d thing.com -d www.thing.com

把上面的邮箱和域名换成自己的

如果你看到如下信息,表明一切正常

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/xxx.com/fullchain.pem. Your cert will
   expire on 2016-03-05. To obtain a new version of the certificate in
   the future, simply run Let's Encrypt again.
 - If like Let's Encrypt, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

注意:上面的命令中,域名的dns需要指向你的VPS,另外Email最好不要用国内的域名邮箱,实测DNSPod+网易企业邮箱会导致The server experienced an internal error :: Error creating new registration错误,有网友反馈使用国内DNS的域名都会有这样的错误。

运行完最后一个命令会出现蓝色命令框,要求同意协议(仅首次会出现);结束后会在“/etc/letsencrypt/live/域名/”目录下生成如下文件,参照自己的服务器软件选择对应文件加载,如Apache就选1-3;Nginx就选1+4:

  • 1. privkey.pem:安全证书的key文件(也就是Apache中的SSLCertificateKeyFile和Nginx的ssl_certificate_key);
  • 2. cert.pem:Apache的服务器端证书(Apache的SSLCertificateFile);
  • 3. chain.pem:Apache的根证书和中继证书(Apache的SSLCertificateChainFile);
  • 4.  fullchain.pem:所有证书(Nginx所需要的ssl_certificate)

LetsEncrypt虽然是永久免费,但是目前要每3个月更新一下,可以配合Crontab命令(教程)进行相关操作,执行的命令同样是“./letsencrypt-auto certonly –standalone –email admin@thing.com -d thing.com -d www.thing.com”

关于证书的使用,下面文章也许你会感兴趣:
为Litespeed添加SSL安全证书(HTTPS安全链接)支持

猜你 喜欢

关于作者: 微魔

小微魔,大智慧!

多条评论

  1. 博主终于更新了,前一段时间博客500.
    说到ssl,我有个2欧用来pt,又安装了apache做文件服务器http下载。同时这个文件服务器是需要认证的,不认证登陆不了,然后在下载工具里把该地址的用户名和密码输入进去就可以下载。
    但是http不加密,链接形如http://aaaa:bbbb@xyz.com/1.zip,配置完下载工具后,可以不用在链接里明文写账号了,但是总归是明文和服务器交互的,怕被嗅探到。可以自签名ssl证书给访问加密吗?

    1. 这半年都在忙着博士答辩,刚忙完不久正在找工作,所以博客没怎么更新;你说的想法不错,照你说的搞个SSL确实能够达到你要的安全性,可以考虑绑个子域名,用免费SSL证书更好些

    1. 我觉得可能是你443端口的问题,检查一下VPS的443端口是否可以访问或者有没有被防火墙封掉,另外,443如果被Apache/nginx占用的话也不行,要停掉他们在搞。

发表评论

电子邮件地址不会被公开。 必填项已用*标注