转:永久免费SSL安全证书Letsencrypt安装使用教程


一直以来SSL安全证书(简而言之就是支持https://)就是网站特别是商务网站的必备,大家在选购VPS的时候也务必避开那些没有SSL安全 证书的商家。LetsEncrypt在出现之初就引起了不少关注,这种宣称永久免费的SSL证书,对于少则2美元/年,多则上百美元的商业产品算是不小的 冲击,虽然前面也有StartSSL等免费的先例,但是LetsEncrypt因为有Mozilla、Cisco的参与而让人产生了不少的好感。最 近,Letsencrypt终于现身了公测版(不用再去申请内测资格了),微魔今天顺便和大家分享安装和使用的教程。

Letsencrypt安装、使用教程

安装前,系统需要安装Python(2.7版本以上)和Git,相关安装教程请自行搜索,大多数情况下使用系统自带的yum或者apt-get命令即可,Redhat或CentOS 6可能需要配置EPEL软件源

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto certonly --standalone --email admin@thing.com -d thing.com -d www.thing.com

把上面的邮箱和域名换成自己的

如果你看到如下信息,表明一切正常

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/xxx.com/fullchain.pem. Your cert will
   expire on 2016-03-05. To obtain a new version of the certificate in
   the future, simply run Let's Encrypt again.
 - If like Let's Encrypt, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

注意:上面的命令中,域名的dns需要指向你的VPS,另外Email最好不要用国内的域名邮箱,实测 DNSPod+网易企业邮箱会导致The server experienced an internal error :: Error creating new registration错误,有网友反馈使用国内DNS的域名都会有这样的错误。

运行完最后一个命令会出现蓝色命令框,要求同意协议(仅首次会出现);结束后会在“/etc/letsencrypt/live/域名/”目录下生成如下文件,参照自己的服务器软件选择对应文件加载,如Apache就选1-3;Nginx就选1+4:

  • 1. privkey.pem:安全证书的key文件(也就是Apache中的SSLCertificateKeyFile和Nginx的ssl_certificate_key);
  • 2. cert.pem:Apache的服务器端证书(Apache的SSLCertificateFile);
  • 3. chain.pem:Apache的根证书和中继证书(Apache的SSLCertificateChainFile);
  • 4.  fullchain.pem:所有证书(Nginx所需要的ssl_certificate)

LetsEncrypt虽然是永久免费,但是目前要每3个月更新一下,可以配合Crontab命令(教程)进行相关操作,执行的命令同样是“./letsencrypt-auto certonly –standalone –email admin@thing.com -d thing.com -d www.thing.com”

via:https://www.vmvps.com/letsencrypt-life-time-free-ssl-certificate-installation-and-usage-tutorial.html

Archives