Certbot给网站域名申请免费SSL证书 及Nginx配置

Posted the丶only

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Certbot给网站域名申请免费SSL证书 及Nginx配置相关的知识,希望对你有一定的参考价值。

Certbot 官网: https://certbot.eff.org/

前提是自己已经安装好nginx,并配置好自己的域名。

1.安装snap

官网要求用snap工具安装,那就先安装相关依赖包,和snap软件。

yum -y install epel-release          	#安装依赖
yum -y install snapd					#安装snap
systemctl enable --now snapd.socket		#启动snap通信套接字
ln -s /var/lib/snapd/snap /snap			#创建如下软连接,为了启用classic snap的支持

如果少一步,安装cerbot会报错。如:没有创建软连接,在安装cerbob报以下错误;
error: cannot install "certbot": classic confinement requires snaps under /snap or symlink from /snap to /var/lib/snapd/snap

这几步下来一般是不会出错的,这样sanp就安装好了



2.安装certbot

  • 升级更新snap
snap install core
snap refresh core
  • 如果之前装过certbot的话要先卸载
sudo yum remove certbot
  • 安装Certbo
snap install --classic certbot
  • 配置Certbot命令行,执行如下命令以确保Certbot命令行可用
ln -s /snap/bin/certbot /usr/bin/certbot
  • 运行Certbot(二选一)
    1:运行此命令获取证书,并让Certbot自动编辑Nginx配置以提供服务,只需一步即可打开HTTPS访问
certbot --nginx
  	2:仅获得证书。如果你希望手动配置nginx,输入如下命令
certbot certonly --nginx

注:Certbot默认nginx配置文件在 /etc/nginx/nginx.conf/usr/local/etc/nginx/nginx.conf,若你的nginx配置文件不在此处(以/usr/local/nginx/conf/nginx.conf为例),需在命令后加上 --nginx-server-root /usr/local/nginx/conf



3. 配置域名ssl证书

用第一种方法给域名配置证书:

certbot --nginx

按要求添加邮箱,域名
在这里插入图片描述

最后有Could not automatically find a matching server block for Set the server_name dirinstaller.报错,是因为在nginx配置文件没有配置域名信息。

进入vim nginx/conf/nginx.conf,找到server_name的部分,改成自己的域名信息

 server {
        listen       80;
        server_name  ywbj.cc www.ywbj.cc;
        }
    }

再次运行

certbot --nginx

在这里插入图片描述

配置成功,没有报错,这时访问你的网站,就会是https了。
在这里插入图片描述
或者在查看nginx配置文件,已经多了SSL相关信息
多的部分如下:

    listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/ywbj.cc/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/ywbj.cc/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
}
server {
    if ($host = www.ywbj.cc) {
        return 301 https://$host$request_uri;
    } # managed by Certbot

    if ($host = ywbj.cc) {
        return 301 https://$host$request_uri;
    } # managed by Certbot
    
    listen       80;
    server_name  ywbj.cc www.ywbj.cc;
    return 404; # managed by Certbot


4.配置自动续签

虽然是免费的,但certbot只有90天的有效期,但它有自动续期的命令,无需再次运行certbot重新签证书。通过运行以下命令,可以测试证书的续订是否正常。

certbot renew --dry-run

如果没有报错,则自动续期命令是正常运行的。

最后所以我们设置个定时任务,让这个续期命令到期自动执行。
certbot renew --force-renewal强制续签,否则没到期,无法续签的。

#进入编辑定时任务
crontab -e 
#添加以下,每隔两个月的,凌晨1点0分,强制续签
0 1 * /2 * /usr/bin/certbot renew --force-renewal

配置完成!!

以上是关于Certbot给网站域名申请免费SSL证书 及Nginx配置的主要内容,如果未能解决你的问题,请参考以下文章

用acme.sh给网站域名,申请免费SSL永久证书(自动续期)

使用 Certbot 申请 Let's Encrypt SSL 证书,并定时续期

nginx使用certbot免费ssl证书,https很简单

certbot 域名续期及证书查看

nginx配置二级域名以及ssl证书,真的很简单

使用certbot 生成 Let‘s Encrypt 泛域名ssl证书