申請Let's Encrypt永久免費SSL證書

時間 2019-11-12

標籤申請 let's let encrypt 永久免費 ssl 證書欄目 SSL 简体版

原文原文鏈接

Let's Encrypt做爲一個公共且免費SSL的項目逐漸被廣大用戶傳播和使用，是由Mozilla、Cisco、Akamai、IdenTrust、EFF等組織人員發起，主要的目的也是爲了推動網站從HTTP向HTTPS過分的進程，目前已經有愈來愈多的商家加入和贊助支持。nginx

Let's Encrypt免費SSL證書的出現，也會對傳統提供付費SSL證書服務的商家有不小的打擊。到目前爲止，Let's Encrypt得到IdenTrust交叉簽名，這就是說能夠應用且支持包括FireFox、Chrome在內的主流瀏覽器的兼容和支持，雖然目前是公測階段，可是也有很多的用戶在自有網站項目中正式使用起來。git

雖然目前Let's Encrypt免費SSL證書默認是90天有效期，可是咱們也能夠到期自動續約，不影響咱們的嘗試和使用。github

第1、安裝Let's Encrypt前的準備工做docker

根據官方的要求，咱們在VPS、服務器上部署Let's Encrypt免費SSL證書以前，須要系統支持Python2.7以上版本以及支持GIT工具。這個須要根據咱們不一樣的系統版本進行安裝和升級，由於有些服務商提供的版本兼容是完善的，尤爲是debian環境兼容性比CentOS好一些。centos

第2、快速獲取Let's Encrypt免費SSL證書api

PS：在獲取某個站點證書文件的時候，咱們須要在安裝PYTHON2.7以及GIT，更須要將域名解析到當前主機IP中。瀏覽器

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto certonly --standalone --email admin@laozuo.org -d laozuo.org -d www.laozuo.org

而後執行上面的腳本，咱們須要根據本身的實際站點狀況將域名更換成本身須要的。安全

第3、Let's Encrypt免費SSL證書獲取與應用
bash

在完成Let's Encrypt證書的生成以後，咱們會在"/etc/letsencrypt/live/laozuo.org/"域名目錄下有4個文件就是生成的密鑰證書文件。服務器

cert.pem - Apache服務器端證書
chain.pem - Apache根證書和中繼證書
fullchain.pem - Nginx所須要ssl_certificate文件
privkey.pem - 安全證書KEY文件

若是咱們使用的Nginx環境，那就須要用到fullchain.pem和privkey.pem兩個證書文件，在部署Nginx的時候須要用到。

ssl_certificate /etc/letsencrypt/live/laozuo.org/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/laozuo.org/privkey.pem;

好比咱們在Nginx環境中，只要將對應的ssl_certificate和ssl_certificate_key路徑設置成咱們生成的2個文件就能夠，最好不要移動和複製文件，由於續期的時候直接續期生成的目錄文件就能夠，不須要再手工複製。

第4、解決Let's Encrypt免費SSL證書有效期問題

咱們從生成的文件中能夠看到，Let's Encrypt證書是有效期90天的，須要咱們本身手工更新續期才能夠。

./letsencrypt-auto certonly --renew-by-default --email admin@laozuo.org -d laozuo.org -d www.laozuo.org

這樣咱們在90天內再去執行一次就能夠解決續期問題，這樣又能夠繼續使用90天。若是咱們怕忘記的話也能夠製做成定時執行任務，好比每月執行一次。

第5、關於Let's Encrypt免費SSL證書總結

經過以上幾個步驟的學習和應用，咱們確定學會了利用Let's Encrypt免費生成和獲取SSL證書文件，隨着Let's Encrypt的應用普及，SSL之後直接免費不須要購買，由於大部分主流瀏覽器都支持且有更多的主流商家的支持和贊助，HTTPS之後看來也是趨勢。在Let's Encrypt執行過程在中咱們須要解決幾個問題。

A - 域名DNS和解析問題。在配置Let's Encrypt免費SSL證書的時候域名必定要解析到當前VPS服務器，並且DNS必須用到海外域名DNS，若是用國內免費DNS可能會致使獲取不到錯誤。

B - 安裝Let's Encrypt部署以前須要服務器支持PYTHON2.7以及GIT環境，要不沒法部署。

C - Let's Encrypt默認是90天免費，須要手工或者自動續期才能夠繼續使用。

Let's Encrypt 發佈的 ACME v2 現已正式支持通配符證書，接下來將爲你們介紹怎樣申請

1、`acme.sh`的方式

1.獲取`acme.sh`

curl https://get.acme.sh | sh

以下所示安裝成功

注：我在centos 7上遇到問題，安裝完後執行acme.sh，提示命令沒找到，若是遇到跟我同樣的問題，請關掉終端而後再登錄，或者執行如下指令：

source ~/.bashrc

2.開始獲取證書

acme.sh強大之處在於，能夠自動配置DNS，不用去域名後臺操做解析記錄了，個人域名是在阿里註冊的，下面給出阿里雲解析的例子，其餘地方註冊的請參考這裏自行修改：傳送門

請先前往阿里雲後臺獲取App_Key跟App_Secret 傳送門，而後執行如下腳本

# 替換成從阿里雲後臺獲取的密鑰
export Ali_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export Ali_Secret="jlsdflanljkljlfdsaklkjflsa"
# 換成本身的域名
acme.sh --issue --dns dns_ali -d zhuziyu.cn -d *.zhuziyu.cn

這裏是經過線程休眠120秒等待DNS生效的方式，因此至少須要等待兩分鐘

到了這一步大功告成，撒花

生成的證書放在該目錄下: ~/acme.sh/domain/

下面是一個Nginx應用該證書的例子:

# domain自行替換成本身的域名
server {
    server_name xx.domain.com;
    listen 443 http2 ssl;
    ssl_certificate /path/.acme.sh/domain/fullchain.cer;
    ssl_certificate_key /path/.acme.sh/domain/domain.key;
    ssl_trusted_certificate  /path/.acme.sh/domain/ca.cer;

    location / {
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $host;
        proxy_pass http://127.0.0.1:10086;
    }
}

acme.sh比certbot的方式更加自動化，省去了手動去域名後臺改DNS記錄的步驟，並且不用依賴Python，牆裂推薦

第一次成功以後，acme.sh會記錄下App_Key跟App_Secret，而且生成一個定時任務，天天凌晨0：00自動檢測過時域名而且自動續期。對這種方式有顧慮的，請慎重，不過也能夠自行刪掉用戶級的定時任務，而且清理掉~/.acme.sh文件夾就行

2、 docker 鏡像獲取

若是裝有docker環境的話，也能夠用docker鏡像來獲取證書，只需一行命令便可

docker run --rm  -it  \
  -v "$(pwd)/out":/acme.sh  \
  -e Ali_Key="xxxxxx" \
  -e Ali_Secret="xxxx" \
  neilpang/acme.sh  --issue --dns dns_ali -d domain.cn -d *.domain.cn

成功以後，證書會保存在當前目錄下的out文件夾，也能夠指定路徑，修改上面第一行 "$(pwd)/out"，改成你想要保存的路徑便可。

詳細用法，能夠參考：傳送門

獲取下來的證書跟方式一獲取的如出一轍，其餘信息請參考方式一。

3、 `certbot`方式獲取證書`[不推薦]`

1.獲取`certbot-auto`

# 下載
wget https://dl.eff.org/certbot-auto

# 設爲可執行權限
chmod a+x certbot-auto

2.開始申請證書

# 注xxx.com請根據本身的域名自行更改
./certbot-auto --server https://acme-v02.api.letsencrypt.org/directory -d "*.xxx.com" --manual --preferred-challenges dns-01 certonly

執行完這一步以後，會下載一些須要的依賴，稍等片刻以後，會提示輸入郵箱，隨便輸入都行【該郵箱用於安全提醒以及續期提醒】

注意，申請通配符證書是要通過DNS認證的，按照提示，前往域名後臺添加對應的DNS TXT記錄。添加以後，不要心急着按回車，先執行dig xxxx.xxx.com txt確認解析記錄是否生效，生效以後再回去按回車確認

到了這一步後，大功告成！！！證書存放在/etc/letsencrypt/live/xxx.com/裏面

要續期的話，執行certbot-auto renew就能夠了

注：經評論區 ddatsh 的指點，這樣的證書沒法應用到主域名xxx.com上，如需把主域名也增長到證書的覆蓋範圍，請在開始申請證書步驟的那個指令把主域名也加上，以下：須要注意的是，這樣的話須要修改兩次解析記錄

./certbot-auto --server https://acme-v02.api.letsencrypt.org/directory -d "*.xxx.com" -d "xxx.com" --manual --preferred-challenges dns-01 certonly

下面是一個nginx應用該證書的一個例子

server {
    server_name xxx.com;
    listen 443 http2 ssl;
    ssl on;
    ssl_certificate /etc/cert/xxx.cn/fullchain.pem;
    ssl_certificate_key /etc/cert/xxx.cn/privkey.pem;
    ssl_trusted_certificate  /etc/cert/xxx.cn/chain.pem;

    location / {
      proxy_pass http://127.0.0.1:6666;
    }
}