letsencrypt在nginx上的实践

letsencrypt在nginx上的实践

无论出于安全还是软件架构,互联网应用部署https已经成为标准配置,通过自签发证书配合主流应用容器能非常方便实现SSL功能,但是使用自签名证书缺少权威性,无法被主流浏览器认可,通过在浏览器配置信任链等操作,降低了用户体验。

本文介绍一种开源的信任证书获取方式:letsencrypt。letsencrypt是开源,并且完全免费的,它颁发的证书已经被几乎所有的浏览器所认可。简易上手如下:

NO.1

环境准备

以linux安装为例,使用步骤如下:

1) 安装git(已安装的请跳过)

验证:

2) 安装python(已安装的请跳过)

验证:

3)更新nss、curl、libcurl:

4)安装letsencrypt

执行依赖更新:

NO.2

生成证书

1)以生成nginx证书为例

参数说明:

certonly:获取证书

-m:邮箱,证书即将到期时,该邮箱将收到通知,--email

--nginx:获取对应证书

-w:对应域名root目录的地址

-d:要认证的域名,--domains

2)证书被放置在你的域名所在服务器的/etc/letsencrypt/live/[domain]目录,查看证书

NO.3

服务器配置

1)配置nginx

2)启动nginx

NO.4

测试

已经不再提示证书风险,可以正常浏览https网站。

NO.5

证书更新

证书有效期为90天,当不足30天时,可以使用以下命令更新:

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181212G0WJUM00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券