申请Let's encrypt的免费SSL证书的正确姿势
0x01 前言
如今申请SSL证书的门槛越来越低,从那个安卓默认不信任的StartSSL,到某宝上几块一年的各种证书,再到沃通的SSL证书,甚至cloudflare的一键SSL,不需要多少钱和时间即可给自己站前面加一个提升逼格的小绿锁,这篇文章就将告诉你如何正确的申请Let's encrypt的免费SSL证书。
0x02 准备
请确认你已经准备好了以下几个必需品:
1.一个运行着任何Linux发行版的vps(Debian最好,当然其他的也无所谓)
2.一个域名
3.一台联网的电脑(喂
0x03 申请
首先,将需要申请的域名解析到你的vps的ip(注意:Let's encrypt的免费SSL证书不支持泛域名,所以需要将你所有想申请证书的子域名都解析过去),然后连接上vps的终端,执行以下命令来获得申请工具:
git clone https://github.com/letsencrypt/letsencrypt cd letsencrypt
(如没有安装git请自行通过yum或apt-get安装)
这时需要先暂停掉web服务并开放防火墙(这步具体执行的操作请根据实际情况自行修改)
service nginx stop service iptables stop
完成这一步后就可以开始申请证书了,执行下列命令
./letsencrypt-auto certonly --standalone -d example.com -d www.example.com
(每个-d参数后面跟一个域名,需要申请几个域名的证书就跟几个,需要确认这些域名都解析到当前vps的ip上)
执行后会自动安装运行环境,并要求你输入邮箱,并同意协议,按照提示走就行。
完成后会有如下提示:
Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will expire on xxxx-xx-xx. To obtain a new version of the certificate in the future, simply run Let's Encrypt again.
这时你的证书就申请好了,去它提示的目录里,fullchain.pem即为证书文件,private.pem即为私钥
注意:申请到的证书有效期3个月,到期后需要用如下命令重新续期:
./letsencrypt-auto renew
0x04 后续
接下来就是去部署SSL证书到服务器上,具体操作因使用的服务器软件而异,本文将不再多说。
最后效果如图: