nginx使用免费ssl证书
nginx开启https
使用Letsencrypt为域名申请免费证书,不是泛域名的方式,是单域名或者多域名方式,会有多个公钥跟私钥
使用standalone方式获取证书
安装letsencrypt
git clone https://github.com/letsencrypt/letsencrypt
进入目录
cd letsencrypt
执行命令获取证书,注意用standalone方式获取证书,需要关闭服务器的80端口,因为会占用这个端口
--email制定证书过期通知邮件,-d制定要为那个域名申请证书,可以通过-d指定多域名
注意,指定的域名必须可以查到a记录,在域名供应商那边有绑定固定IP
./letsencrypt-auto certonly --standalone --email xxx@qq.com -d www.xxx.com
生成的证书公钥,私钥在/etc/letsencrypt/live里面,以域名为名字的目录
修改nginx的配置文件,启用ssl证书验证
server { listen 443 ssl; server_name 填入域名 ; error_log logs/apple_app_error.log error; access_log logs/apple_access.log main; ssl on; #指定证书公钥 ssl_certificate /etc/letsencrypt/live/app.blockmango.net/fullchain.pem; #指定证书私钥 ssl_certificate_key /etc/letsencrypt/live/app.blockmango.net/privkey.pem; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # ssl_protocols SSLv3 TLSv1; # ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_prefer_server_ciphers on; location /apple-app-site-association { default_type application/json; expires 1d; } location / { root html; index index.html index.htm; expires 1d; } #error_page 404 /404.html; #redirect server error pages to the static page /50x.html # error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } }
重启nginx服务即可
注意通过免费的方式申请的证书,只有三个月有效期,三个月后要为过期的证书更新
还有使用standalone这种方式申请或者更新的,操作前都需要关闭http服务,更新后再打开http服务
还有一种方式比较好用的,是webroot,但是这种方式需要在改服务器还没有申请过证书前,即nginx的配置文件没修改成ssl模式前使用
因为本次对服务器申请证书,是之前已经有过其他域名证书申请了,且是用standalone方式申请的,现在改为webroot的话有点麻烦,所以继续使用standalone方式为新域名申请证书
当然这样的话,就必须维护多个证书
参考链接:https://blog.csdn.net/dancen/article/details/81311688