一键启用Let's Encrypt SSL证书

  |   0 评论   |   258 浏览

背景

Let’s Encrypt是一个自由的,自动的,开放的CA(Certificate Authority)。

其特点是证书有效期为90天,但是到期可以自动续期。

这样缓解了两个问题:

  1. 证书和域名不一致: 比如域名已经转让,但是证书还没到期的情况.
  2. 域名私钥泄露:如果私钥泄露,很容易发起中间人攻击.

使用

根据Let’s Encrypt官网上的方法

本文选择了默认的有shell权限,使用Certbot ACME客户端的选项。

安装

下载脚本

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

执行

sudo ./path/to/certbot-auto --nginx

然后设置几个选项,就完成了,就这么快。

更新

如果快到期了怎么办?

手动续期

$ sudo ./path/to/certbot-auto --nginx certonly

自动续期

$ sudo ./path/to/certbot-auto renew --dry-run

实际运行

$ sudo ./path/to/certbot-auto renew

如果要定时自动更新,则

0 0,12 * * * python -c 'import random; import time; time.sleep(random.random() * 3600)' && ./path/to/certbot-auto renew

参考

评论

发表评论

validate