letsencrypt在nginx上的实践
无论出于安全还是软件架构,互联网应用部署https已经成为标准配置,通过自签发证书配合主流应用容器能非常方便实现SSL功能,但是使用自签名证书缺少权威性,无法被主流浏览器认可,通过在浏览器配置信任链等操作,降低了用户体验。
本文介绍一种开源的信任证书获取方式:letsencrypt。letsencrypt是开源,并且完全免费的,它颁发的证书已经被几乎所有的浏览器所认可。简易上手如下:
NO.1
环境准备
以linux安装为例,使用步骤如下:
1) 安装git(已安装的请跳过)
验证:
2) 安装python(已安装的请跳过)
验证:
3)更新nss、curl、libcurl:
4)安装letsencrypt
执行依赖更新:
NO.2
生成证书
1)以生成nginx证书为例
参数说明:
certonly:获取证书
-m:邮箱,证书即将到期时,该邮箱将收到通知,--email
--nginx:获取对应证书
-w:对应域名root目录的地址
-d:要认证的域名,--domains
2)证书被放置在你的域名所在服务器的/etc/letsencrypt/live/[domain]目录,查看证书
NO.3
服务器配置
1)配置nginx
2)启动nginx
NO.4
测试
已经不再提示证书风险,可以正常浏览https网站。
NO.5
证书更新
证书有效期为90天,当不足30天时,可以使用以下命令更新:
领取专属 10元无门槛券
私享最新 技术干货