用letsencrypt搭建免費的https網站--nginx篇

環境：阿里雲服務器centos7.3，nignx，letsencrypt作免費的https證書

Let’s Encrypt官網：https://letsencrypt.org/

一、服務器開放端口：443,80(服務器防火牆和阿里雲控制檯都要開放這兩個端口，若是沒有開放後面設置域名時，會報錯鏈接域名超時的)　

二、安裝一個nginx，而且測試下能夠訪問嗎，訪問個主頁試試

三、準備作完了咱們開始安裝，從服務器上面獲取證書：

　　$ cd /home

　　$ git clone https://github.com/letsencrypt/letsencrypt.git

　　$ cd letsencrypt　

　　$ sudo ./letsencrypt-auto certonly

　　根據該向導，選用standalone模式填寫本身的郵箱域名等等

四、而後咱們就能在/etc/letsencrypt/live/mydomain下面看到privkey.pem和fullchain.pem文件

五、咱們修改nginx的配置文件，屏蔽http配置文件，設置https配置文件讓它支持https協議，默認nginx配置文件路徑/etc/nginx/nginx.conf：

server {
　　listen 443 ssl http2 default_server;
　　listen [::]:443 ssl http2 default_server;
　　server_name www.waterlufei.cn;
　　root /usr/share/nginx/html;

　　ssl_certificate "/etc/letsencrypt/live/www.waterlufei.cn/fullchain.pem";
　　ssl_certificate_key "/etc/letsencrypt/live/www.waterlufei.cn/privkey.pem";
　　ssl_session_cache shared:SSL:1m;
　　ssl_session_timeout 10m;
　　ssl_ciphers HIGH:!aNULL:!MD5;
　　ssl_prefer_server_ciphers on;

　　# Load configuration files for the default server block.
　　include /etc/nginx/default.d/*.conf;

　　location / {
　　}

　　location ~ \.php$ {
　　　　root /usr/share/nginx/html;
　　　　fastcgi_pass 127.0.0.1:9000;
　　　　fastcgi_index index.php;
　　　　fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
　　　　include fastcgi_params;
　　}

　　error_page 404 /404.html;
　　　　location = /40x.html {
　　}

　　error_page 500 502 503 504 /50x.html;
　　　　location = /50x.html {
　　　　}
　　}

其實nginx配置文件後面有https的模板，默認屏蔽了

六、而後咱們重啓下nginx，systemctl stop nginx.service和systemctl start nginx.service,用http協議訪問網站的某個頁面不行，用https協議訪問成功,https://www.waterlufei.cn/indexs.html

七、前面咱們怕衝突把http的配置給屏蔽了，如今咱們要實現訪問http的時候自動跳轉到https，例如訪問baidu.com就會自動跳轉到https://www.baidu.com

　  咱們再加一個server實現跳轉　   

　  server{
　　　　listen 80;
　　　　server_name www.waterlufei.cn;
　　　　return 301 https://$host$request_uri;
　　}

       而後重啓nginx

八、 最後咱們看下頒發的證書，右擊頁面->檢查->security->View certificate，咱們看下證書的有效期是3個月，letsencrypt是支持自動獲取證書的，也就是說你能夠設置在證書失效前例如一個月自動再請求新的證書，這樣咱們之後就不用擔憂證書失效了

 九、實現定時更新證書，咱們能夠用linux自帶的定時器crontab

　　$ crontab -e

　　輸入：　

　　30 2 1 * * /home/letsencrypt/certbot-auto renew >> /var/log/le-renew.log
　　35 2 1 * * /usr/bin/systemctl reload nginx

　　保持退出，上面的意思是在每月的1號2點30分自動更新證書，在每月的1號2點35分從新加載nginx,證書默認是90天，咱們能夠用上面的更新命令更新，當證書在30天之內就要過時時，上面的命令就會請求新的證書，否則會提示你證書還能夠用