Let’s Encrypt免費(fèi)SSL證書已經(jīng)受到了包括FireFox、Chrome在內(nèi)的眾多主流瀏覽器的兼容和支持，目前國內(nèi)的應(yīng)用主要是提現(xiàn)在各大電商網(wǎng)站和門戶網(wǎng)站上，可以提高訪問和交易安全性。很多外貿(mào)公司網(wǎng)站也使用是因?yàn)間oogle已經(jīng)明確表示有提供SSL證書將會(huì)是一個(gè)加分因素。那么對于我們廣大站長來說，也許將來某一天你的網(wǎng)站就需要添加這么一個(gè)SSL證書。

　　給網(wǎng)站添加SSL證書的方式有很多，老魏以后會(huì)分別寫教程。今天魏艾斯博客(www.vpsss.net)說一下Let’s Encrypt官方推薦Certbot工具快速部署SSL證書。

　　安裝環(huán)境：CentOS6 軍哥lnmp1.3

　　一、安裝Let’s Encrypt之前要準(zhǔn)備的

　　把CentOS系統(tǒng)安裝好，lnmp環(huán)境配置好并添加域名和虛擬主機(jī)完畢。

　　以下兩個(gè)步驟根據(jù)你自己的系統(tǒng)情況操作，根據(jù)老魏實(shí)測的結(jié)果如果是CentOS6/7務(wù)必提前安裝epel源，否則后面生成證書時(shí)可能會(huì)報(bào)錯(cuò)。

　　CentOS 5升級python版本，點(diǎn)我查看python版本從2.4升級到2.7的操作流程。

　　CentOS 6/7安裝epel，點(diǎn)我查看centos安裝epel源的操作流程。

　　二、Certbot選擇部署版本

　　根據(jù)你的實(shí)際情況來針對性的選擇系統(tǒng)和發(fā)行版本，然后會(huì)跳轉(zhuǎn)到automated安裝向?qū)А?/p>

　　三、CentOS6中使用Certbot部署SSL證書

　　1、老魏選擇了CentOS6系統(tǒng)和lnmp環(huán)境，輸入以下命令開始自動(dòng)安裝：

　　cd /root/ wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto ./certbot-auto

　　圖示如下

　　“Installing Python packages”這個(gè)過程需要稍等幾分鐘，中間有遇到Is this OK時(shí)候輸入y，回車即可。

　　這里下載python源默認(rèn)是在國外了，如果你用國外VPS自然是沒問題，而老魏測試VPS是國內(nèi)的需要耐心等待一下，如果你使用國內(nèi)VPS卡在Installing Python packages…這個(gè)地方長時(shí)間不動(dòng)，可以執(zhí)行下面命令來修改pip源為國內(nèi)的：

　　mkdir ~/.pip

　　cat > ~/.pip/pip.conf <<EOF

　　[global]

　　index-url = https://pypi.doubanio.com/simple/

　　[install]

　　trusted-host=pypi.doubanio.com

　　EOF

　　執(zhí)行完，再重新運(yùn)行certbot的命令應(yīng)該正常安裝python的包了。

　　2、生成域名SSL證書

　　admin@域名代表你域名對應(yīng)的郵箱，盡量填寫國外郵箱，國內(nèi)的不知道好不好用。

　　A – 單域名

　　./certbot-auto certonly –email admin@域名.com –agree-tos –webroot -w /home/wwwroot/網(wǎng)站文件夾 -d www.域名.com

　　B – 多域名單目錄生成單證書：(即一個(gè)網(wǎng)站多個(gè)域名使用同一個(gè)證書)

　　./certbot-auto certonly –email admin@域名.com –agree-tos –webroot -w /home/wwwroot/www.域名.com -d www.域名.com -d www.域名.com

　　C – 多域名多目錄生成多個(gè)證書：(即一次生成多個(gè)域名的多個(gè)證書)

　　./certbot-auto certonly –email admin@域名.com –agree-tos –webroot -w /home/wwwroot/網(wǎng)站文件夾1 -d 域名1.com -d www.域名1.com -w /home/wwwroot/域名2 -d 域名2.com -d www.域名2.com

　　現(xiàn)在會(huì)彈出窗口，大概意思是把你的郵箱提交給一個(gè)Let’s Encrypt的合作伙伴，老魏這里選擇的n，你隨意吧。

　　下面是這里可能遇到的兩個(gè)錯(cuò)誤（老魏全碰上了）和解決辦法：

　　如果出現(xiàn)了下面紅字的錯(cuò)誤是因?yàn)闆]有提前安裝EPEL源。

　　如果出現(xiàn)提示：訪問https://域名/.well-known/acme-challenge/**** 這個(gè)鏈接返回403錯(cuò)誤（截圖不完整了），所以必須要將對應(yīng)虛擬主機(jī)配置文件里的

　　location ~ /\.

　　{

　　deny all;

　　}

　　這段配置刪掉或注釋掉或在這段配置前面加上

　　location ~ /.well-known {

　　allow all;

　　}

　　最后出現(xiàn)以下提示說明安裝證書成功了。

　　2、生成的證書被放到/etc/letsencrypt/live/你的域名/目錄中，這個(gè)是根據(jù)自己網(wǎng)址目錄來的。進(jìn)入里面可以看到有cert.pem 、chain.pem 、 fullchain.pem 、privkey.pem四個(gè)文件。

　　3、知道證書的安裝路徑之后，就涉及到在網(wǎng)站Nginx配置文件或者APACHE文件中添加路徑了。

　　Nginx的虛擬主機(jī)配置文件在：/usr/local/nginx/conf/vhost/域名.conf

　　命令：vi /usr/local/nginx/conf/vhost/域名.conf

　　輸入a進(jìn)入編輯狀態(tài)，然后把下面已經(jīng)配置好的代碼（老魏實(shí)測沒問題）復(fù)制粘貼到你那里，注意把下面所有的 域名.com 換成你的域名，證書路徑也換成你自己的。結(jié)果就是主域名和www域名都自動(dòng)301跳轉(zhuǎn)到https://www域名，你可以根據(jù)自己的情況調(diào)整最后跳轉(zhuǎn)到https://主域名還是www域名。

　　server { listen 80; #listen [::]:80; server_name www.域名.com 域名.com; return 301 https://$server_name$request_uri; } server { listen 443 ssl http2; ssl_certificate /etc/letsencrypt/live/www.域名.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/www.域名.com/privkey.pem; ssl_ciphers "EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5"; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; # HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months) add_header Strict-Transport-Security max-age=15768000; # OCSP Stapling --- # fetch OCSP records from URL in ssl_certificate and cache them ssl_stapling on; ssl_stapling_verify on; index index.html index.htm index.php default.html default.htm default.php; server_name www.域名.com 域名.com; root /home/wwwroot/www.域名.com; include wordpress.conf; #error_page 404 /404.html; include enable-php.conf; location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ { expires 30d; } location /wp-content/uploads/ { location ~ .*\.(php)?$ { deny all; } } location ~ .*\.(js|css)?$ { expires 12h; } location ~ /\. { deny all; } access_log off; }

　　然后按ESC退出編輯狀態(tài)，輸入:wq保存。

　　4、重啟nginx使以上操作生效，命令如下：

　　/etc/init.d/nginx reload

　　5、用瀏覽器打開主域名或者帶www的域名，都會(huì)自動(dòng)301跳轉(zhuǎn)到如下圖的結(jié)果，也就是域名前面出現(xiàn)了小綠鎖，點(diǎn)擊綠鎖會(huì)出現(xiàn)Let’s Encrypt驗(yàn)證的證書信息，說明添加成功了。

　　提示：1、截圖網(wǎng)頁中顯示的it’s ok是老魏自己建了一個(gè)index.html扔進(jìn)虛擬主機(jī)目錄里的，如果是新建網(wǎng)站沒有任何內(nèi)容，就會(huì)顯示“403 Forbidden”，不過不影響主域名和www域名自動(dòng)301重定向到https域名。

　　2、這里僅限于新裝wordpress博客的情況，至于已經(jīng)在運(yùn)行的wordpress博客，限于本文篇幅過長，老魏留著后面再補(bǔ)充。

　　6、這個(gè)網(wǎng)站https://www.ssllabs.com/ssltest/可以測試SSL證書是否正常工作，我這個(gè)測試結(jié)果是A+，很完美的結(jié)果!

　　目前Let’s Encrypt免費(fèi)SSL證書默認(rèn)是90天有效期，可以提前用下面命令手動(dòng)續(xù)約90天：

　　./certbot-auto renew –dry-run

　　怕忘記續(xù)約過期了可以用crontab定時(shí)執(zhí)行命令到期自動(dòng)續(xù)約，這樣就可以放心了。

　　為了寫這篇文章，老魏實(shí)測了3天才搞定整個(gè)流程。開始我用的國內(nèi)VPS在測試，每次總是卡在Installing Python這里，因?yàn)槟J(rèn)的Python源是國外的，下載速度實(shí)在太慢了。后來又換了國外VPS又出現(xiàn)各種錯(cuò)誤提示，最后又回到了國內(nèi)VPS。而網(wǎng)上的教程很多都是復(fù)制粘貼的，并沒有經(jīng)過自己的實(shí)際測試，很容易誤導(dǎo)你。總之從安裝過程來看這個(gè)Cerbot工具并不像官方說的那么快捷，一個(gè)不小心就會(huì)報(bào)錯(cuò)，大家安裝的時(shí)候務(wù)必按照老魏上面的流程去做，我這里是沒問題的。

　　轉(zhuǎn)載請注明：魏艾斯博客? Let’s Encrypt官方推薦Certbot工具快速部署SSL證書