使用 letsEncrypt 为web站点增加 https 证书

安装certbot

不同的操作系统，不同的ｈｔｔｐ服务器，所使用的安装方式会有所不同，详情请参考　https://certbot.eff.org/　

生成证书

生成证书，有两种模式，standalone模式和webroot模式，　standalone 模式虽然可以配置好服务器，但是以后 Renew 的时候，需要让服务停止一下，再启动。因此推荐使用 Webroot 配置模式。

因为，CertBot在验证服务器域名的时候，会生成一个随机文件，然后CertBot的服务器会通过HTTP访问你的这个文件，因此要确保你的Nginx配置好，以便可以访问到这个文件。

改你的服务器配置，在server模块添加：

location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /usr/share/nginx/html;
}

location = /.well-known/acme-challenge/ {
return 404;
}

接着重新加载Nginx配置：

sudo service nginx reload

然后在命令行输入：

sudo certbot certonly --webroot -w /usr/share/nginx/html/ -d your.domain.com

该命令成功执行之后，会在 /etc/letsencrypt 目录下生成证书相关文件。

配置证书

这里仅给出最简单的例子， 更加详尽的配置和 letsencrypt 无关，而主要是和如何配置 https 相关

server {
        listen 443 ssl;
        listen [::]:443 ssl ipv6only=on;

        ssl_certificate /etc/letsencrypt/live/your.domain.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/your.domain.com/privkey.pem;
        ssl_trusted_certificate /etc/letsencrypt/live/your.domain.com/chain.pem;
        
        // ... other settings ...
}

详细例子请参考：　https://letsecure.me/secure-web-deployment-with-lets-encrypt-and-nginx/

更新证书

先在命令行模拟证书更新：

sudo certbot renew --dry-run

既然模拟成功，我们就使用crontab -e的命令来启用自动任务，命令行：

sudo crontab -e

添加配置：

30 2 * * 1 /usr/bin/certbot renew  >> /var/log/le-renew.log

上面的执行时间为：每周一半夜2点30分执行renew任务。

你可以在命令行执行/usr/bin/certbot renew >> /var/log/le-renew.log看看是否执行正常，如果一切OK，那么我们的配置到此结束！

renew 遇到错误

WARNING:letsencrypt.client:Registering without email!

此时使用如下命令：

letsencrypt renew --dry-run -m YOURMAIL --agree-tos

resource

• https://segmentfault.com/a/1190000005797776
• https://certbot.eff.org/docs/
• https://letsecure.me/secure-web-deployment-with-lets-encrypt-and-nginx/