免费 SSL 证书 certbot 配置

certbot 链接地址

免费证书厂商：https://letsencrypt.org/zh-cn/

AWS ec2 配置免费证书

# aws 参考链接：https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2.html
# 首先安装epel源，epel源中包含certbot
# ec2 
sudo amazon-linux-extras install epel
# centos7
yum install epel-release

# 安装certbot
yum install certbot python2-certbot-nginx

# 签发证书
certbot --agree-tos certonly --email mr.liulei@qq.com --webroot -w /data/tls/ -d vaultuid.ll2019.cn -d www.ll2019.cn

备注：
--agree-tos  同意用户协议
--email    首次申请证书时，需要邮箱地址来创建 Let's Encrypt 的账号。不过，并不会验证此账号。邮箱地址用于接受证书过期提醒。
--certonly    只申请证书
--webroot    通过在当前运行的 web 服务器下存放验证文件来验证身份。
-w    指定web服务器的根目录
-d    指定要申请证书的域名

# 生成证书的目录中几个文件的内容
cert.pem: 网站自身的证书；
chain.pem: 网站证书链中的上级证书；
fullchain.pem: 包含了网站自身证书和上级证书的完整证书链；
privkey.pem: 网站自身证书对应的私钥。

 

 

nginx自动配置证书

# 自动配置域名证书
# 一键配置
sudo certbot --nginx 
or
# 只获取证书手动来配置nginx
sudo certbot certonly --nginx

回车后输入域名，

# 域名自动续期
echo "0 0,12 * * * python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew -q" | sudo tee -a /etc/crontab > /dev/null

⚠️：自动配置nginx ssl 证书需要在nginx中配置443端口和域名，如下：

 

server {
        listen       443;
        server_name  xxxx.cn;
    #   ssl_certificate /etc/letsencrypt/live/xxxx.cn/fullchain.pem; # managed by Certbot
    #   ssl_certificate_key /etc/letsencrypt/live/xxxx.cn/privkey.pem; # managed by Certbot
        access_log /var/log/nginx/jenkins_access_log main;
        #error_log  /var/log/nginx/jenkins_error_log  main;
        client_max_body_size 60M;
        client_body_buffer_size 512k;
        location / {
            proxy_pass      http://localhost:8080/;
            proxy_redirect  off;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
         }
}
# 域名证书部分不需要写，他会自动补全ssl证书，补全之后如上注释部分；