Let’sEncrypt简介
通过提供免费的数字认证,Let’sEncrypt 项目鼓励更多网站采用加密连接。该项目由互联网安全研究集团(ISRG)负责,除 Mozilla 之外,参与 ISRG 这一项目的其他公司还包括思科、Akamai、电子前线基金会和 IdenTrust。该组织还在网站上列出了一些赞助商,包括 Chrome 和 Facebook。自其2012年推出,去年12月份进入公开测试阶段,已经为380万域名提供了免费的安 全防护措施,Let's Encrypt向广大的网站提供免费SSL证书,不管是对于网站站长、互联网用户,还是对整个Web互联网,都是非常有利的,它有利于整个互联网的安全。

HTTPS的必要性
HTTPS在客户端和服务器之间传输加密内容,即使被窃听,也极难解密;而HTTP明文传输,者很容易窃听。
防止被劫持,天朝的运营商劫持、挂广告还是比较猖獗的,普及HTTPS非常必要的。
HTTPS不能保证绝对的安全,但能极大地提高/劫持的门槛和代价。

自从DNSpod 可以通过 Lets Encrypt 的验证之后,作者立马也安装上该证书了。
环境
centos7 nginx

1安装git bc epel
yum -y install git bc elep-release
2下载let‘s Encrypt
git clone https://github.com/chengmingkun/Let-sEncrypt-ssl.git
mv letesencrypt /opt
letsencrypt被安装到/opt/letesencrypt/目录下
创建网站根目录
mkdir /opt/www
创建一个静态网页
vim index.hrml
类容不重要
3在nginx上面添加
location '/.well-known/acme-challenge/' {
default_type "text/plain";
root /opt/www;
}
/opt/www 作为网站的/目录
4申请Let's Encrypt认证,注意修改如下选项
--email 是申请者的邮箱
--d 是申请的域名
--webroot 网站根目录
在/opt/letsencrypt目录下面
./certbot-auto certonly --webroot -w /data/www -d ceshi.aa.cn --email [email protected]

    成功后证书会在/etc/letsencrypt/live/www.abc.com 下面
    cert.pem  chain.pem  fullchain.pem  privkey.pem  README
    5修改nginx配置文件
    server {

listen 443;
server_name www.abc.com;
ssl on;
ssl_certificate /etc/letsencrypt/live/www.abc.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/www.abc.com/privkey.pem; # managed by Certbot
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_ciphers ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM;
ssl_protocols TLSv1.1 TLSv1 TLSv1.2;
ssl_prefer_server_ciphers on;
location '/.well-known/acme-challenge/' {
default_type "text/plain";
root /opt/www;
}
}
修改后检测配置文件是否正确
nginx -t
重新加载nginx
nginx -s reload
访问站点检查是否可以正常https方式打开, 如果开启防火墙需要开放443端口!