"Let's Encrypt"提供免费的TLS/SSL证书,本文简要说明配置证书过程。
参考
配置证书
- 安装certbot,certbot是一个命令行工具,可以很方便的配置"Let's Encrypt"证书。
访问 https://certbot.eff.org/ 然后根据自己的服务器类型还有操作系统类型,选择不同配置。
下面是Nginx+Ubuntu 16.04安装certbot的过程
$ sudo apt-get update
$ sudo apt-get install software-properties-common
$ sudo add-apt-repository ppa:certbot/certbot
$ sudo apt-get update
$ sudo apt-get install python-certbot-nginx
- 配置Nginx服务器
下面按照默认安装的Nginx服务器, 进行配置
$ sudo vi /etc/nginx/sites-available/default
找到server_name
server_name _;
把_替换为你的域名
server_name example.com [, www.example.com];
- 生成证书
$ sudo certbot --nginx -d example.com -d www.example.com
生成的证书位置/etc/letsencrypt,注意备份此目录。
$ nginx -s reload # 重启服务器
- 配置Diffie-Hellman Parameters
现在可以使用SSL Labs Server Test测试网站安全性。测试结果为B,配置Diffie-Hellman Parameters后,可以让网站安全性提升到A。
$ mkdir /etc/letsencrypt/certs/
$ sudo openssl dhparam -out /etc/letsencrypt/certs/dhparam.pem 2048
在/etc/nginx/sites-available/default的server内任意位置添加
ssl_dhparam /etc/ssl/certs/dhparam.pem;
$ nginx -s reload
- 大功告成
常用Nginx命令
$ nginx -s start
$ nginx -s stop
$ nginx -s reload
$ nginx -t #测试配置是否正确