sanae

申请Let's encrypt的免费SSL证书的正确姿势
0x01 前言如今申请SSL证书的门槛越来越低,从那个安卓默认不信任的StartSSL,到某宝上几块一年的各种证书...
扫描右侧二维码阅读全文
16
2016/02

申请Let's encrypt的免费SSL证书的正确姿势

0x01 前言

如今申请SSL证书的门槛越来越低,从那个安卓默认不信任的StartSSL,到某宝上几块一年的各种证书,再到沃通的SSL证书,甚至cloudflare的一键SSL,不需要多少钱和时间即可给自己站前面加一个提升逼格的小绿锁,这篇文章就将告诉你如何正确的申请Let's encrypt的免费SSL证书。


0x02 准备

请确认你已经准备好了以下几个必需品:

1.一个运行着任何Linux发行版的vps(Debian最好,当然其他的也无所谓)

2.一个域名

3.一台联网的电脑(喂


0x03 申请

首先,将需要申请的域名解析到你的vps的ip(注意:Let's encrypt的免费SSL证书不支持泛域名,所以需要将你所有想申请证书的子域名都解析过去),然后连接上vps的终端,执行以下命令来获得申请工具:

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt

(如没有安装git请自行通过yum或apt-get安装)

这时需要先暂停掉web服务并开放防火墙(这步具体执行的操作请根据实际情况自行修改)

service nginx stop
service iptables stop

完成这一步后就可以开始申请证书了,执行下列命令

./letsencrypt-auto certonly --standalone -d example.com -d www.example.com

(每个-d参数后面跟一个域名,需要申请几个域名的证书就跟几个,需要确认这些域名都解析到当前vps的ip上)

执行后会自动安装运行环境,并要求你输入邮箱,并同意协议,按照提示走就行。

完成后会有如下提示:

Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
expire on xxxx-xx-xx. To obtain a new version of the certificate in
the future, simply run Let's Encrypt again.

这时你的证书就申请好了,去它提示的目录里,fullchain.pem即为证书文件,private.pem即为私钥

注意:申请到的证书有效期3个月,到期后需要用如下命令重新续期:

./letsencrypt-auto renew


0x04 后续

接下来就是去部署SSL证书到服务器上,具体操作因使用的服务器软件而异,本文将不再多说。

最后效果如图:

1455625496153340.png

Last modification:June 4th, 2018 at 08:26 am

Leave a Comment