一直以来SSL安全证书(简而言之就是支持https://)就是网站特别是商务网站的必备,大家在选购VPS的时候也务必避开那些没有SSL安全 证书的商家。LetsEncrypt在出现之初就引起了不少关注,这种宣称永久免费的SSL证书,对于少则2美元/年,多则上百美元的商业产品算是不小的 冲击,虽然前面也有StartSSL等免费的先例,但是LetsEncrypt因为有Mozilla、Cisco的参与而让人产生了不少的好感。最 近,Letsencrypt终于现身了公测版(不用再去申请内测资格了),微魔今天顺便和大家分享安装和使用的教程。
Letsencrypt安装、使用教程
安装前,系统需要安装Python(2.7版本以上)和Git,相关安装教程请自行搜索,大多数情况下使用系统自带的yum或者apt-get命令即可,Redhat或CentOS 6可能需要配置EPEL软件源
git clone https://github.com/letsencrypt/letsencrypt cd letsencrypt ./letsencrypt-auto certonly --standalone --email admin@thing.com -d thing.com -d www.thing.com
把上面的邮箱和域名换成自己的
如果你看到如下信息,表明一切正常
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/xxx.com/fullchain.pem. Your cert will expire on 2016-03-05. To obtain a new version of the certificate in the future, simply run Let's Encrypt again. - If like Let's Encrypt, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
注意:上面的命令中,域名的dns需要指向你的VPS,另外Email最好不要用国内的域名邮箱,实测 DNSPod+网易企业邮箱会导致The server experienced an internal error :: Error creating new registration错误,有网友反馈使用国内DNS的域名都会有这样的错误。
运行完最后一个命令会出现蓝色命令框,要求同意协议(仅首次会出现);结束后会在“/etc/letsencrypt/live/域名/”目录下生成如下文件,参照自己的服务器软件选择对应文件加载,如Apache就选1-3;Nginx就选1+4:
- 1. privkey.pem:安全证书的key文件(也就是Apache中的SSLCertificateKeyFile和Nginx的ssl_certificate_key);
- 2. cert.pem:Apache的服务器端证书(Apache的SSLCertificateFile);
- 3. chain.pem:Apache的根证书和中继证书(Apache的SSLCertificateChainFile);
- 4. fullchain.pem:所有证书(Nginx所需要的ssl_certificate)
LetsEncrypt虽然是永久免费,但是目前要每3个月更新一下,可以配合Crontab命令(教程)进行相关操作,执行的命令同样是“./letsencrypt-auto certonly –standalone –email admin@thing.com -d thing.com -d www.thing.com”
via:https://www.vmvps.com/letsencrypt-life-time-free-ssl-certificate-installation-and-usage-tutorial.html