配置免费的SSL

1 引言

本文介绍了如何在 Linux 环境下使用免费的 Let’s Encrypt 为你的网站配置 SSL 证书的方法,以及如何在 Nginx 服务器中启用 SSL。对于需要在自己的网站上启用 HTTPS 的用户来说非常实用。

2 SSL 简介

SSL,全称为 Secure Sockets Layer,是一种网络安全协议,主要用于在互联网上对数据进行加密传输。SSL 通过使用加密算法对数据进行加密,确保数据在传输过程中的安全。同时,SSL 还提供了身份验证机制,可以验证服务器的身份以防止中间人攻击。

当你在浏览器的地址栏看到 http:// 变成 https://,或者地址栏前面出现一个锁的图标时,就表示你正在使用 SSL。“s” 即安全 “secure”。HTTPS 协议实际上就是在 HTTP 上加了一层 SSL/TLS 协议,使得数据传输更加安全。

SSL 证书是一种数字证书,它可以验证网站的身份,并提供 SSL 加密。当一个网站使用了 SSL 证书后,用户在访问这个网站时,浏览器会首先获取这个网站的 SSL 证书,然后验证这个证书的有效性。如果证书有效,浏览器就会生成一个随机的密钥,然后用证书中的公钥加密这个密钥,并发送给服务器。服务器收到密钥后,用自己的私钥解密,然后用这个密钥对数据进行加密,发送给浏览器。浏览器收到数据后,用同样的密钥解密,得到原始的数据。这样,即使数据在传输过程中被截获,攻击者也无法解密数据,从而保证了数据的安全。

在本文中,我们将使用 Let’s Encrypt 提供的免费 SSL 证书,用 Certbot 工具来为我们的网站配置 SSL。

3 设置方法

3.1 安装
$ sudo apt-get install certbot
$ sudo certbot certonly --standalone -d 你的域名

(交互过程中需要设置邮箱地址)

此后将产生:

Certificate is saved at: /etc/letsencrypt/live/你的域名/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/你的域名/privkey.pem
3.2 配置 Nginx

编辑 /etc/nginx/nginx.conf

在其中提示 SSL 部分加入

ssl_certificate /etc/letsencrypt/live/你的域名/fullchain.pem; 
ssl_certificate_key /etc/letsencrypt/live/你的域名/privkey.pem;

打开 443 端口

还是把 nginx 中,把 80 端口相关内容复制一份,添加到设置中,并修改端口为 443:

        server {
            listen 443 ssl;
            …
        }
        server {
            listen 80;
            …

Let’s Encrypt 的证书有效期为 90 天,可以设置一个 cron 任务来自动续期证书。

$ echo "0 12 * * * root certbot renew --quiet" | sudo tee -a /etc/crontab > /dev/null

4 注意事项

当使用 https 访问时,需要输入域名,而不能输入 ip,否则会报错:域名和 SSL 认证不匹配。

你可能感兴趣的:(工具,ssl,网络协议,网络)