MENU

Let's Encrypt的使用教程

  首先是近两天鄙人不小心将服务器的某个根目录移到的另一个根目录里,然后机器就崩了,现在刚折腾好,想了下最近用的Let'sEncrypt免费ssl证书不错,今天就写个教程吧。

  我从内测时就申请了此证书的使用资格,但是因为不会用就一直放着的,最近公测了,就在网上找了下教程,发现有用的信息还是很少,最后这个看看那个看看终于知道了如何使用,于是便分享一下,首先先来看这高大上的证书。

QQ截图271209203136

  从图中可以看出此证书有效期只有3个月,但是可以无限制的重新签发,而且此证书签发并没有向传统证书那么繁琐和费时,仅需要短短的4分钟即可获得一个证书。

  废话不说,我们开始正文,首先我们需要满足以下条件。

debian系统(主要是centos的python版本太低,不过我升级后运行签发工具还是出错)。

域名需要提前解析到签发证书的机器上。

签发时不能运行web服务(签发工具需要监听web端口来验证域名所有权)。

    第一步:获取客户端且执行工具

git clone https://github.com/letsencrypt/letsencrypt #git签发客户端到本地
cd letsencrypt #切换到客户端目录
./letsencrypt-auto --agree-dev-preview --server \
    https://acme-v01.api.letsencrypt.org/directory auth #运行通用签发(其它签发可去官网查看)

当然在这之前你需要停止nginx等web服务。

  第二步:绑定邮箱(我已经绑定了,这一步直接略过了,第一次会提醒绑定。)

  第三步:输入域名开始签发(可添加多个域名,但是不能添加泛域名,所有域名必须绑定到签发机器否则失败)

2

  输入你需要签发的域名,第一个域名则为授予给的域名,其它为附带域名,然后一路回车就行,我本应该再截图成功办法时的状态的,结果提示太多证书以经签发,这里我就附上张次提示的截图吧。

td

  再在附上一张因为域名没解析到签发机器上而出的错误吧。

3

  其实这只是其中一个,因为这个域名我解析到其它机器上了,还有没解析等错误。

  成功签发后可以在“/etc/letsencrypt/live/你的域名/”里可以看到4个文件。

zs

  其中privkey.pem是密钥、chain.pem是证书、fullchain.pem是证书链、cert.pem是crt文件,另外此证书可以拿出来放到别的机器上用,到期重新签发即可。

  这文章就说这么多了,有问题可直接留言。

最后编辑于: 2017 年 03 月 30 日
996.icu 996.icu