(图片来自网络)
老高的证书快过期了(2016-12-11),本着节约资(R)源(MB)的精神,准备使用Let’s Encrypt。
由于老高的服务器在搬瓦工搭建,所以属于有shell权限的,所以老高可以使用Certbot(如下图)来简化操作。
如截图所示,选择合适的web服务器和系统后就可以进行安装和部署操作了。
ps. 看来想要顺利安装Certbot,还需要epel-release
安装Certbot
yum install -y epel-release
yum install -y certbot
使用webroot方式获取证书
操作前假设你的web目录为/var/html/www/
# -w 指定webroot根目录
# -d domain 想要获取的证书域名,支持多个域名
certbot certonly --webroot -w /var/html/www/ -d blog.phpgao.com -d www.phpgao.com -d phpgao.com
成功执行后会生成几个文件
➜ ~ ll /etc/letsencrypt/live/blog.phpgao.com/
cert.pem -> ../../archive/blog.phpgao.com/cert2.pem
chain.pem -> ../../archive/blog.phpgao.com/chain2.pem
fullchain.pem -> ../../archive/blog.phpgao.com/fullchain2.pem
privkey.pem -> ../../archive/blog.phpgao.com/privkey2.pem
这几个文件就是我们开启https所需要的所有文件了,更多信息可以参考为你的网站开启ssl支持
listen 443 ssl;
ssl on;
ssl_certificate /etc/letsencrypt/live/blog.phpgao.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/blog.phpgao.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/blog.phpgao.com/chain.pem;
/*
剩下的配置
*/
自动更新
根据Certbot的文档,我们先测试一下升级流程
/usr/bin/certbot renew --dry-run
如果结果没有问题就可以加到计划任务中了!由于Let’s Encrypt的证书有效期是3个月,而certbot renew
只会更新还有30天才会过期的证书,所以我们在每周一的中午12点检查一次即可!
0 12 * * 1 /usr/bin/certbot renew --quiet
# or with log
0 12 * * 1 /usr/bin/certbot renew >> /var/log/cerbot.log
补充:
renew的时候报错的解决办法
ImportError: ‘pyOpenSSL’ module missing required functionality. Try upgrading to v0.14 or newer.
rpm --query centos-release # centos-release-7-3.1611.el7.centos.x86_64
wget ftp://ftp.muug.mb.ca/mirror/centos/7.3.1611/cloud/x86_64/openstack-mitaka/common/pyOpenSSL-0.15.1-1.el7.noarch.rpm
rpm -Uvh pyOpenSSL-0.15.1-1.el7.noarch.rpm
yum install certbot
certbot renew