获取免费的ssl证书并部署到nginx上面

前言

https协议一看就觉得逼格高端。很早时候就想做一个来玩玩了。
现在有机会了
感谢
咖菲猫-李常明笔记
certbot在Centos7上配置合法签名证书,实现nginx的https访问

本文其实就是 咖菲猫-李常明笔记 的笔记的读书笔记而已。

准备

certbot的官网地址:

https://certbot.eff.org/

然后你打开一下官网:
获取免费的ssl证书并部署到nginx上面_第1张图片
获取免费的ssl证书并部署到nginx上面_第2张图片

上面其实已经有相关指导了,
我选择的是 nginx + centos
看到下面的指导。。
我翻译一下算了:

安装

因为在centos里面没有可直接执行的打包过的cert bot 软件,所以目前的做法是,复制一份copy在本地编译安装。

wget https://dl.eff.org/certbot-auto
sudo mv certbot-auto /usr/local/bin/certbot-auto
sudo chown root /usr/local/bin/certbot-auto
sudo chmod 0755 /usr/local/bin/certbot-auto

执行上面几个,最后有:
在这里插入图片描述
在这里插入图片描述

开始配置

Certbot自带针对nginx的插件,可以针对众多平台自动执行ssl证书安装过程。

sudo /usr/local/bin/certbot-auto --nginx

如果你想体验手动的快感,手动修改配置,那么,好,执行命令时候添加参数"certonly"
$ sudo /usr/local/bin/certbot-auto --nginx certonly
然后后续过程请参考:
https://certbot.eff.org/docs/

说回自动安装的过程吧,

注意,要求填写域名时候,只能填写单域名不要填写范域名,是错的,会这样提示:

我填写的是 泛域名,譬如: *.123site.com 第一个表示匹配所有二级域名。
获取免费的ssl证书并部署到nginx上面_第3张图片
提示:这部分错误.

正确的是:

IMPORTANT NOTES:
 - Unable to install the certificate
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/www.freedom_plus.club/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/www.freedom_plus.club/privkey.pem
   Your cert will expire on 2019-09-04. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again with the "certonly" option. To non-interactively renew *all*
   of your certificates, run "certbot-auto renew"

已经生成以后,那么配置那一部分这样来
参考之前的文章
nginx+ca+https设置

首先,看看生成的key都有哪些:

ls /etc/letsencrypt/live/www.freedom_plus.com/

看到:
在这里插入图片描述
好了,在nginx.conf里面添加

参考: 咖菲猫-李常明笔记

的配置

server {
        listen       443 ssl http2 default_server;
        listen       [::]:443 ssl http2 default_server;
        server_name  kafeimao.com;
        ssl           on;
        ssl_certificate "/etc/letsencrypt/live/kafeimao.com/fullchain.pem";
        ssl_certificate_key "/etc/letsencrypt/live/kafeimao.com/privkey.pem";
#        ssl_session_cache shared:SSL:1m;
#        ssl_session_timeout  10m;
#        ssl_ciphers HIGH:!aNULL:!MD5;
#        ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;

        location / {
                root  /usr/share/nginx/html/kafeimao.com;
                index  index.html;
        }

        error_page 404 /404.html;
            location = /40x.html {
        }

        error_page 500 502 503 504 /50x.html;
            location = /50x.html {
        }
    }
  }

http协议重定向

注意,为了原本的80端口即http的普通协议能够转换到https这边来,可以添加这一条规则:

## http move to https
server {
listen    80;
server_name domain.com;
return    301 https://$server_name$request_uri;
}

好了,不过我们有些文件,譬如静态资源,js gif等等是要直接访问硬盘,不需要代理的,这时候这样做

  
  ## https里面直接代理静态资源
server {
listen    443;
server_name domain.com;
      location ~/(javascript|css|images|res|static|statics|templates){
      root /home/root/web/static/;
       expires      7d;

      }

# 第二个必选规则是处理静态文件请求,这是nginx作为http服务器的强项
# 有两种配置模式,目录匹配或后缀匹配,任选其一或搭配使用
location ^~ /static/ {
    root /webroot/static/;
}
location ~* \.(gif|jpg|jpeg|png|css|js|ico)$ {
    root /webroot/res/;
}

## 下面代理转发php网站或java网站
    location / {
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header REMOTE-HOST $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass http://127.0.0.1:8080/;
    }

}

定期更新

首先,尝试执行:

sudo /usr/local/bin/certbot-auto renew --dry-run

如果执行成功,那么就可以用:

/usr/local/bin/certbot-auto renew

来手动更新,推荐用下面代码每两天检查一下更新:

0 0,12 * * * python -c 'import random; import time; time.sleep(random.random() * 3600)' && /usr/local/bin/certbot-auto renew 

下面添加定时任务:

crontab -e

打开定时任务编辑器
添加内容:

0 0,12 * * * python -c 'import random; import time; time.sleep(random.random() * 3600)' && /usr/local/bin/certbot-auto renew 

保存,然后使用:

 crontab -l -u root

查看是否添加了,然后,

/sbin/service crond start
/sbin/service crond stop
/sbin/service crond restart
/sbin/service crond reload

请重启定时任务

你可能感兴趣的:(nginx,ssl,https,certbot)