先看最终实现效果
查看网站证书信息：控制台 Security > View certificate

image.png

image.png

一、Let’s Encrypt 简介

如果要启用HTTPS，我们就需要从证书授权机构(以下简称CA) 处获取一个证书，Let’s Encrypt 就是一个 CA。我们可以从 Let’s Encrypt 获得网站域名的免费的证书。这篇文章也主要讲的是在Linux下通过 Let’s Encrypt + Nginx 来让网站升级到HTTPS。

Let’s Encrypt 使用 ACME 协议来验证您对给定域名的控制权并向您颁发证书。要获得 Let’s Encrypt 证书，您需要选择一个要使用的 ACME 客户端软件。
我们这里选择的是lego（go语言编写的客户端和ACME库）

原理： 申请证书，在你的网站下生成一个.well-known/acme-challenge/xxxxxx的文件，生成成功后，Let’s Encrypt 会去访问这个文件，如果访问成功，就证明你是网站所有者，就会给你签发证书(需指定目录)。

证书颁发官网：https://letsencrypt.org/

它需要一个ACME 客户端软件，我们这里下载lego
https://github.com/go-acme/lego/releases

下载lego_v3.1.0_linux_amd64.tar.gz

主要是下载 amd 的（arm通常是手机用的），下载后把压缩包放到服务器上，我们在opt目录下 建立一个文件夹 lego,把压缩包放进去解压 ，得到三个文件，最重要的是lego这个文件（这个文件相当于我们windows下的exe可执行文件）。注意lego文件需要有可执行的权限

mkdir /opt/lego
tar -xzf lego_v3.1.0_linux_amd64.tar.gz
ls /opt/lego

详细用法： 在lego目录下 输入 ./lego --help

二、准备工作：修改文件夹权限

我们在 /etc/ssl 目录下 建立一个目录 ，暂且也叫lego , 一会将生成的证书放在这个目录下，
注：
1）我们需要使用www-data（nginx配置文件的用户）身份签证书，所以将这个目录的属主和属组改成www-data,方便一会在里面读写文件。

chown www-data:www-data lego

2）上面说到，申请证书时会在我们网站生成一个.well-known/acme-challenge/xxxxxx的文件，所以我们应该给网站一个可读写执行的权限

chmod 777 /var/www/dazheng.peterz.top

三、申请证书

sudo -u www-data /opt/lego/lego -a -m 1070945911@qq.com -d dazheng.peterz.top --path /etc/ssl/lego --http --http.webroot /var/www/dazheng.peterz.top/public run
    

参数解释

/root/lego/lego  表示程序的路径，即我们上面下载好的程序
-d 指定域名 ，
-a 接受加密服务条款
-m 指定邮箱 提醒证书快过期
--path  程序产生文件的路径  
--http  指定使用http方式，还有其他方式tls,dns 这里不做论述
--http.webroot  /var/www/dazheng.peterz.top/public/ 指定网站根目录，最好写绝对路径
run  最后run运行

正常运行成功会提示

Server responded with a certificate     服务器响应了一张证书  

打开/etc/ssl/lego文件夹，有两个目录，一个是accout, 里面主要存放你的邮箱账号信息， 另一个是certificates，里面存放了四个文件，我们主要用到的是 .crt（证书） 和 .key（私钥）这两个文件。

对于.crt 和.key文件可以这样理解： .key里存的就是私钥（相当于一个章）， 而.crt是一个包含了公钥和其它内容的证书（相当于一张盖了章的纸）。

四、修改网站nginx配置

主要是监听 443 端口，启用 SSL，并配置 SSL 的证书和私钥路径。
nginx配置片段 ，如

server {
        listen 443 ssl http2;
#       listen [::]:443 ssl http2;
        ssl_certificate /etc/ssl/lego/dazheng.peterz.top.crt;    #证书
        ssl_certificate_key /etc/ssl/lego/dazheng.peterz.top.key;    #私钥
        ssl_session_timeout 1d;
        ssl_session_cache shared:MozSSL:10m;  # about 40000 sessions
        ssl_session_tickets off;
        # intermediate configuration
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-P$

重载nginx配置

nginx -s reload

这样网站就配置上了https证书。

五、自动续签

以上申请的证书有效期为三个月，到期证书就无法用了，所以我们写个脚本，让它快过期时，自动续签。原理就是写个脚本执行以上的命令。

创建一个脚本 auto_cert.sh

vim auto_cert.sh

将之前的命令放进去

#!/bin/bash
sudo -u www-data /opt/lego/lego -a -m 1070945911@qq.com -d dazheng.peterz.top --path /etc/ssl/lego --http --http.webroot /var/www/dazheng.peterz.top/public renew
nginx -s reload

记得给脚本加可执行权限

chomd gou+x  auto_cert.sh

设置定时任务

vim /etc/crontab

在末尾加一行

0 0 1 * * root  /root/auto_cert.sh    #每月1号执行一次

重启 cron服务

systemctl restart cron

这时我们再查看网站证书信息，发现已经ok了。