配置新版 Let’s Encrypt (Certbot) 证书

前言

在上个月 (2016年05月) Let’s Encrypt 证书工具升级改名了，现在的名称为Certbot
由于我将近一个月没有维护我的服务器，结果发生旧版客户端证书失效的事情…
正好最近有时间，重装一次服务器顺道重新写一些配置流程。

Certbot简介

其实这东西就是之前的letsencrypt那个工具，只不过新版本起了一个正式的名称而已，旧的项目地址 如今也会跳转到 新的项目页。
而且这个工具现在有了专门官方网站，通过这个网站我们可以很容易的安装和使用这个工具。

安装

由于我使用的是 debian 8 系统 + nginx ，根据官方网站的向导，采用的是配置apt源的安装方式安装，步骤很简单。

配置 jessie-backports 源

Certbot 被包含在了 debian 的不稳定软件源 jessie-backports 中了。
我依旧采用的是在 /etc/apt/sources.list.d/ 中添加新的文件backports.list,在文件中写入以下配置

deb http://ftp.debian.org/debian jessie-backports main

安装Certbot

这个其实没什么好写的,只需要注意在 install 的时候需要加入 -t jessie-backports 这个参数

sudo aptitude update && sudo aptitude install -t jessie-backports certbot 

运行

这个工具的运行方法和之前的完全一样,就不多写了

certbot certonly

然后就是一系列的交互操作,和之前的一样

证书生成的位置还是之前的/etc/letsencrypt/live/{domain}

自动更新

这个和之前的变化也不大，只是多了一个检测的命令。
下面这个命令可以检测 更新脚本是否正常。

  certbot renew --dry-run

如果执行上面的这个命令没有报错的话，那么就可以安心的在cron任务里配置这个命令。

certbot renew --quiet 

此外还有个更高级的更新命令

certbot renew --standalone --pre-hook "service nginx stop" --post-hook "service nginx start"