使用let's encrypt的ssl证书

前一段时间为了在外网安全登录给blog添加了一个ssl证书,分别尝试了自己生成的和startcom提供的免费版证书,虽然勉强可用,但是好景不长,startcom的证书因为沃通的关系,被浏览器拒之门外了。后来在朋友圈里看到mozilla和Cisco联手其他厂家共同推出的let's encrypt项目,于是今天就重新申请一个let's encrypt的证书试试看。虽然let's encrypt有官方网站,但是却没有找到简易的使用说明,Get Started里面只说了两种使用方式,只能参考linode上介绍的步骤(原文地址),依法炮制如下:

1.首先确保自己的web服务器上安装有git

2.下载let's encrypt仓库到本地,执行

#git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

3.生成网站证书

#./letsencrypt-auto certonly --standalone -d mowblog.com -d www.mowblog.com

此时会在/etc/letscnerypt/live/mowblog.com下找到fullchain.pem和privkey.pem的软连接,分别用这里的文件替换以前的服务器证书和私钥,重启httpd,再次用https访问网站,就可以看到绿色的小锁图标了

letsencrypt

 

4.更新证书

由于免费证书只有90天的使用期限,到期后要重新更新

# ./letsencrypt-auto certonly --standalone --renew-by-default -d mowblog.com -d www.mowblog.com

linode还给了一种自动更新的方法,通过添加crontab任务实现:

#echo '@monthly root /opt/letsencrypt/letsencrypt-auto certonly --quiet --standalone --renew-by-default -d mowblog.com -d www.mowblog.com >> /var/log/letsencrypt/letsencrypt-auto-update.log' | tee --append /etc/crontab

原文是在ubuntu上用普通用户执行的,我用root直接测试,执行后的crontab内容如下

letsencrypt2

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据