Centos7用Let’s encrypt certbot生成证书并自动更新
目录
-
- 安装 certbot
- 安装证书前
- standalone 模式
- nginx ssl 配置
- 查看已安装的证书
- 删除证书
- 手动续期
- 自定续期
-
- 安装 cron 服务
- 启动 cron 服务
- 查看 corn 位置
- 创建 cron 配置
- 添加定时任务
安装 certbot
yum install -y epel-release
yum install -y certbot
安装证书前
- 安装证书前先准备个临时目录,有个 index.html
- 配置 nginx 增加你要添加证书的 server
server{
listen 80;
server_name you_add_domain
root /your/test/www/dir
location / {
index index.html
}
}
standalone 模式
有些时候我们的一些服务并没有根目录,例如一些微服务,这时候使用 --webroot 就走不通了。certbot 还有另外一种模式 --standalone,这种模式不需要指定网站根目录,他会自动启用服务器的443端口,来验证域名的归属。我们有其他服务(例如nginx)占用了443端口,就必须先停止这些服务,在证书生成完毕后,再启用。
certbot certonly --standalone -d sub.domain.com -m [email protected] --agree-tos
证书生成后文件:
- cert.pem 服务端证书
- chain.pem 浏览器需要的所有证书但不包括服务端证书,比如根证书和中间证书
- fullchain.pem 包括了cert.pem和chain.pem的内容
- privkey.pem 证书的私钥
nginx ssl 配置
# 配置一个 80 端口,并转发到 443 端口
# 可以配置多个,也可以一个配置多个域名 用空格分割
server {
listen 80;
server_name example.your.domain; # 修改域名
rewrite ^(.*) https://$server_name$1 permanent; # 转发 443
}
# 配置 443 ,可以多个
server {
listen 443 ssl;
server_name your.domain.com; # 修改域名
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 1d;
ssl_session_tickets off;
# 配置证书
ssl_certificate /etc/letsencrypt/live/your.domain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/your.domain.com/privkey.pem;
location / {
# 可以是转发,指向目录等
}
location /name {# name 代表在使用该 域名时 通过该目录访问执行的地址。该示例就是 https://your.domain.com/name
# 可以是转发,指向目录等
}
}
查看已安装的证书
certbot certificates
删除证书
千万别删除文件夹的方式删除
certbot delete --cert-name example.com
手动续期
/usr/bin/certbot renew
自定续期
安装 cron 服务
yum -y install vixie-cron
yum -y install crontabs
启动 cron 服务
service crond start
# 开机启动
systemctl enable crond
查看 corn 位置
find / -name "cron"
/etc/selinux/targeted/active/modules/100/cron
/var/log/cron # 这个是日志文件位置,不管它
/var/lib/docker/overlay2/755f150def933bc7d28386aa9c28db653fcc466d4a5f43f42987a8f63e75e566/diff/var/spool/cron
/var/lib/docker/overlay2/f7d173cd29f2405151201e67c6b403e03e41c632e42c53d04f6c66977eb31a67/merged/var/spool/cron
/var/spool/cron # 这里是所有的自动执行任务的 cron 文件存放位置
创建 cron 配置
crontab -e
此命令会在
/var/spool/cron下创建 ‘root’ 命名的 root 用户定时配置文件
添加定时任务
vi /var/spool/cron/root
15 3 * * * /usr/bin/certbot renew --quiet
添加完后需要重启
service crond restart