https://www.codecasts.com/blog/post/secure-nginx-with-let-s-encrypt-on-ubuntu-16-04
Let's Encrypt 的服务相信很多人都知道了,我个人认为这是最好的免费 SSL 服务。下面内容即使如何在自己的网站上使用 Let's Encrypt 实现 SSL.
前提条件
自己拥有一个域名,备案了的域名最好。
Ubuntu 16.04 的服务器,你可以到腾讯云或者阿里云购买这样的云主机。
将域名自己解析到你的 Ubuntu 16.04 的云主机 ip;注意如果你的域名没备案,在购买主机的时候,推荐大家购买腾讯云或者阿里云境外的主机。
1.安装 Certbot
Certbot 其实就是维护 Let's Encrypt 的 Package,在 Ubuntu 16.04 上,我们可以这样安装:
首先安装 Nginx:
sudo apt-getinstall nginx
以上过程,等待安装完毕就好。
然后添加 package repository
sudo add-apt-repository ppa:certbot/certbot
这个过程中,等待验证完毕,按下 ENTER 就好。然后更新 apt 源数据:
sudo apt-getupdate
最后,安装 Certbot 的 Nginx package:
sudo apt-getinstall python-certbot-nginx
2.配置 Nginx
安装完 Nginx 和 Certbot 之后,需要简单配置 Nginx 以便于 Let's Encrypt 能起作用:
sudo vi/etc/nginx/sites-available/default
使用 vi 编辑器打开 /etc/nginx/sites-available/default,可以直接删除里面的所有内容,然后再添加下面的配置:
server{listen80;listen[::]:80;server_nameyour-domain.com www.your-domain.com;}
注意这里的 your-domain.com 换成你自己的域名。
保存退出之后,执行以下命令来检测 Nginx 的配置文件是否有错:
sudo nginx -t
如果出现类似 syntax ok 这样的语句,就说明 Nginx 的配置文件没有问题。之后就是重新加载 Nginx 的配置文件了:
sudo service nginx reload
3.签发 SSL 证书
前面的两大步配置完成,就可以使用 Let's Encrypt 签发 SSL 证书了:
sudo certbot --nginx -d your-domian.com-d www.your-domain.com
注意这里的 your-domain.com 换成你自己的域名。
如果你第一次运行 certbot 命令的话,你需要在弹出的窗口输入你的邮箱地址还有需要接受 Let's Encrypt 的协议,这样之后,你大概会看到下面的文字:
Please choose whetherornottoredirect HTTP traffictoHTTPS, removing HTTPaccess.-------------------------------------------------------------------------------1: No redirect - Make no further changestothe webserverconfiguration.2: Redirect - Makeallrequests redirecttosecure HTTPSaccess. Choose thisfornewsites,orifyou'reconfident your site worksonHTTPS. You can undo thischange by editing your web server'sconfiguration.-------------------------------------------------------------------------------Selectthe appropriate number [1-2]then[enter] (press'c'tocancel):
在上面这里选择 1 或者 2,我推荐大家直接选择 2,因为这个会直接将你的 nginx 文件配置好并且是会将 http 跳转到 https 的。
选择完毕之后,等待 SSL 生成完毕,就会有类似这样的输出:
IMPORTANT NOTES: - Congratulations! Your certificateandchain have been saved at /etc/letsencrypt/live/your-domain.com/fullchain.pem. Your cert will expireon2017-12-29.Toobtain anewortweaked versionofthis certificateinthe future, simply run certbot againwiththe"certonly"option.Tonon-interactively renew *all*ofyour certificates, run"certbot renew"- Your account credentials have been savedinyour Certbotconfigurationdirectory at /etc/letsencrypt. You should make a secure backupofthis folder now. Thisconfigurationdirectory will also contain certificatesandprivate keys obtained by Certbot so making regular backupsofthis folderisideal. -Ifyou like Certbot, please consider supporting our work by: DonatingtoISRG / Let'sEncrypt: https://letsencrypt.org/donate DonatingtoEFF: https://eff.org/donate-le
然后在上面的文字中,这个 /etc/letsencrypt/live/your-domain.com/fullchain.pem 路径很重要,就是你的 SSL 证书路径。
其实到这里,访问 your-domain.com 应该就可以看到 https 的效果了。
4.自动更新证书
因为 Let's Encrypt 签发的 SSL 证书有效期只有 90 天,所有在过期之前,我们需要自动更新 SSL 证书,而如果你使用最新的 certbot 的话,Let's Encrypt 会帮你添加自动更新的脚本到 /etc/cron.d 里,你只需要去检测一下这个命令是否生效就OK!
sudo certbot renew --dry-run
如果这个命令你没看到什么 error 的话,那就是没什么问题了。
总结
本文主要是介绍了在 Ubuntu 16.04 的云服务器上,使用 Nginx 作为服务器软件情况下,如何配置 Let's Encrypt 的 SSL 证书,使得网站得以支持 https 的过程。内容很浅,但是我觉得还是挺有用的。