早上收到 Let's Encrypt 的郵件,說偶之前申請的已經通過了,於是馬上開始試用。Let's Encrypt 是一個新的數字證書認證機構,它通過自動化的過程消除創建和安裝證書的復雜性,為網站提供免費的 SSL/TLS 證書。
以下是使用 Let's Encrypt 的過程:
獲取客戶端並執行
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto --agree-dev-preview --server \
https://acme-v01.api.letsencrypt.org/directory auth
選擇認證方式
在安裝一些依賴包後,Let's Encrypt 將彈出 TUI 界面要求選擇認證的方式:手動或獨立。這裡為了省事,選擇獨立認證。
接著輸入 Email 地址
同意許可協議
輸入域名
在此,輸入 linuxtoy.org 和 www.linuxtoy.org,多個域名使用逗號或空格分隔。
完成
當看到下列消息時,說明認證已經成功完成:
- Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/linuxtoy.org/fullchain.pem. Your cert will expire on 2016-01-25. To obtain a new version of the certificate in the future, simply run Let's Encrypt again.
Let's Encrypt 將認證的信息保存於 /etc/letsencrypt 目錄。
然後,在 NGINX 的配置文件中將下面兩行設置成 Let's Encrypt 的實際路徑即可:
ssl_certificate /etc/letsencrypt/live/linuxtoy.org/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/linuxtoy.org/privkey.pem;
值得注意的是,目前 Let's Encrypt 的證書有效期為 90 天,之後需要手動續期。另外,在請求證書認證時會有頻率限制。總的來說,證書的認證過程還是非常容易的,而且又是免費,所以對此有需要的朋友不妨一試。
