您现在的位置是:首页 >其他 >CentOS + Nginx 环境自动申请和部署Let‘s Encrypt免费SSL证书教程网站首页其他

CentOS + Nginx 环境自动申请和部署Let‘s Encrypt免费SSL证书教程

字节叔叔 2024-08-15 00:01:06
简介CentOS + Nginx 环境自动申请和部署Let‘s Encrypt免费SSL证书教程

文章目录


本文介绍如何在 CentOS + Nginx 环境下,自动申请和部署Let’s Encrypt免费SSL证书。

步骤 1:安装Certbot工具

首先,确保您的CentOS系统上已安装了Certbot工具。您可以通过以下命令安装Certbot:

yum install -y epel-release
yum install -y certbot

步骤 2:配置Nginx服务器

确保您的Nginx服务器已正确配置,并且您的域名已指向服务器的公共IP地址。

步骤 3:生成SSL证书

运行以下命令生成SSL证书:

certbot certonly --webroot -w [Web站点目录] -d [站点域名] -m [联系人email地址] --agree-tos

该命令将使用Certbot工具通过Webroot插件来生成证书。eg:

certbot certonly --webroot -w /usr/local/nginx/html -d demo.hangge.com -m service@hangge.com --agree-tos

申请成功后,证书会保存在 /etc/letsencrypt/live/demo.hangge.com/ 下面.

步骤 4:配置Nginx以使用SSL证书

首先执行如下命令生成 Perfect Forward Security(PFS)键值:

mkdir /etc/ssl/private/ -p
cd /etc/ssl/private/
openssl dhparam 2048 -out dhparam.pem

打开Nginx的配置文件,通常位于 /etc/nginx/nginx.conf/etc/nginx/conf.d/xxx.conf,并添加以下配置:

server {
    listen 80;
    server_name demo.hangge.com;
    rewrite  ^/(.*)$  https://demo.hangge.com/$1 permanent;
}
server {
    listen 443 ssl;
    server_name demo.hangge.com;
    ssl_certificate      /etc/letsencrypt/live/demo.hangge.com/fullchain.pem;
    ssl_certificate_key  /etc/letsencrypt/live/demo.hangge.com/privkey.pem;
 
    ssl_session_timeout 1d;
    ssl_session_cache shared:SSL:50m;
 
    ssl_dhparam /etc/ssl/private/dhparam.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
 
    ssl_ciphers  'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:AES:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK';
    ssl_prefer_server_ciphers  on;
     location / {
		root   html;
        index  index.html index.htm;
   }
}

确保将 demo.hangge.com 替换为您的域名。

步骤 5:重新加载Nginx配置

运行以下命令重新加载Nginx配置,使其生效:

nginx -s reload

现在,您的Nginx服务器应该已成功配置使用Let’s Encrypt免费SSL证书。

步骤 6:自动续期证书

Let’s Encrypt证书的有效期为90天。为了自动续期证书,您可以设置一个定时任务来运行Certbot命令。例如:

//更新证书
certbot renew --dry-run
 
//如果不需要返回的信息,可以用静默方式
certbot renew --quiet

保存并关闭文件后,运行以下命令添加一个定时任务:

sudo crontab -e

此时会进入 vi 的编辑界面让你编辑工作(每项工作都是一行)。我们在末尾添加如下一行内容,表示每月 1 号 5 时会执行执行一次更新,并重启 nginx 服务器:

00 05 01 * * /usr/bin/certbot renew --quiet && /bin/systemctl restart nginx

保存后退出,执行 crontab -l 命令可以查看 crontab 服务是否创建成功

00 05 01 * * /usr/bin/certbot renew --quiet && /bin/systemctl restart nginx

这样,您就完成了在CentOS上自动申请和部署Let’s Encrypt免费SSL证书的教程。您的网站现在应该通过安全的HTTPS连接进行访问。

风语者!平时喜欢研究各种技术,目前在从事后端开发工作,热爱生活、热爱工作。

站长推荐