letsencrypt在nginx上的实践

letsencrypt在nginx上的实践

无论出于安全还是软件架构，互联网应用部署https已经成为标准配置，通过自签发证书配合主流应用容器能非常方便实现SSL功能，但是使用自签名证书缺少权威性，无法被主流浏览器认可，通过在浏览器配置信任链等操作，降低了用户体验。

本文介绍一种开源的信任证书获取方式：letsencrypt。letsencrypt是开源，并且完全免费的，它颁发的证书已经被几乎所有的浏览器所认可。简易上手如下：

NO.1

环境准备

以linux安装为例，使用步骤如下：

1） 安装git（已安装的请跳过）

验证：

2） 安装python（已安装的请跳过）

验证：

3）更新nss、curl、libcurl：

4）安装letsencrypt

执行依赖更新：

NO.2

生成证书

1）以生成nginx证书为例

参数说明：

certonly：获取证书

-m：邮箱，证书即将到期时，该邮箱将收到通知，--email

--nginx：获取对应证书

-w：对应域名root目录的地址

-d：要认证的域名，--domains

2）证书被放置在你的域名所在服务器的/etc/letsencrypt/live/[domain]目录，查看证书

NO.3

服务器配置

1）配置nginx

2）启动nginx

NO.4

测试

已经不再提示证书风险，可以正常浏览https网站。

NO.5

证书更新

证书有效期为90天，当不足30天时，可以使用以下命令更新：