## 部署环境 Centos 7, Nginx 1.19
# Certbot&Nginx部署ssl证书
1、安装certbot
sudo yum install epel-release;
sudo yum install certbot;
【nginx|Centos7利用Certbot部署和更新Nginx下的SSL证书】certbot --version
如果有问题需要调整环境
sudo pip uninstall urllib3
sudo pip install urllib3
sudo easy_install urllib3==1.21.1
sudo pip install --upgrade --force-reinstall 'requests==2.6.0'
2、修改 Nginx 配置
新增一个server模块或者已有的模块中增加location:
server {
listen 80;
server_name your.domain.com;
#这里填你要验证的域名
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root conf/html/;
#这里需要与后文 --webroot -w 后面配置的路径一致
}
}
重启
Nginx: `service nginx reload`或者`nginx -s reload`
3、生成证书
`certbot certonly --webroot -w conf/html/ -d your.domain.com`
证书生成后位于`/etc/letsencrypt`目录
注意:-w后面的路径需要和Nginx配置中的文件路径一致
4、配置ssl
Nginx配置文件中可以对443端口增加ssl证书:
ssl_certificate /etc/letsencrypt/live/your.domain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/your.domain.com/privkey.pem;
5、重新加载nginx
nginx -s reload //此时https证书已经被加载到对应的网站上。
证书颁布者为 R, 有效期为当日开始的3个月。
文章图片
# 自动更新ssl证书
- 模拟证书更新:
`certbot renew --dry-run` //如果命令指令成功则可增加自动更新定时任务
- 强制更新证书:
certbot renew --force-renewal //强制更新未到期证书
- 添加自动更新定时任务:因为证书有效期只有3个月,推荐每周或者每月执行一次更新命令。
如果证书有效期还有一个月以上,执行命令后会提示无需更新。
crontab -e 或者 vi /etc/crontab
#每周日凌晨 2点执行renew任务,随后3点重新加载nginx
0 2 * * 0 /usr/bin/certbot renew >> /etc/letsencrypt/log/certbot-renew.log
0 3 * * 0 /usr/local/nginx/sbin/nginx -s reload >> /etc/letsencrypt/log/nginx-reload.log
# Certbot部署常见问题参考
https://blog.csdn.net/mxw2552261/article/details/79730757
https://blog.csdn.net/w345731923/article/details/105243372
推荐阅读
- Linux|Let‘s Encrypt申请ssl证书
- Linux笔记|Linux Nginx
- Java|Tomcat 配置SSL证书 实现HTTPS访问 - 伪证书
- 计算机网络|面试考点(五)——辨析“http”协议兄弟
- 笔记|如何给网站安装SSL证书()
- Java|Nginx多个域名配置ssl证书出错解决方案
- Nginx|一篇就学会Nginx做代理缓存服务器
- 深入浅出|翠花一把王者的时间,我就学会了Nginx
- python|python爬虫从0到1 - Scrapy框架的实战应用