配置工具

通过 Certbot 为 nginx 开启https支持。

环境

  • CentOS 7.1
  • python2.x(那玩意系统里原来就有)

安装Nginx

sudo yum install nginx -y

顺手运转:

sudo systemctl start nginx

顺手设置开机运营:

sudo systemctl enable nginx

哦,就产生了。 至于配置文件,会在后面设置。

配置https

此处大家接收 Let’s Encrypt 提供的注解。且为了便于设置,使用 Certbot
配置工具。

工具得到

证件机构: Let’s Encrypt –
https://letsencrypt.org
配备工具: Certbot – https://certbot.eff.org/

实际,你一贯用不到下边多个链接,小编把它们写在这里只是为了方便了然任何细节,顺便表示尊重。

实则大家得以向来通过包微处理器获取 Certbot 工具。

首先必要安装 EPEL 源:

sudo yum install epel-release -y

下一场安装 Certbot :

sudo yum install python2-certbot-nginx -y

工具安装实现。

使用 Certbot

Certbot
使用命令行中的人机联作式配置,我们运转它,然后任何时候提醒一步一步成功就行。

一、 启动 Certbot

由此命令:

sudo certbot --nginx

二、 填写邮箱

在下述提醒后,填写您的邮箱地址。

Enter email address (used for urgent renewal and security notices) (Enter 'c' to cancel): xxxx@xxxx.com

输入你的邮箱地址,回车鲜明。

三、 同意客户协商

下述提醒提示你读书并允许客商公约之类的。

Please read the Terms of Service at https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf.
You must agree in order to register with the ACME server at https://acme-v02.api.letsencrypt.org/directory
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(A)gree/(C)ancel: A

输入字母 A 回车鲜明。

四、 央求分享你的信箱

意思是他俩会没事给您发发广告邮件。同意正是了 ╮(╯▽╰)╭

Would you be willing to share your email address with the Electronic Frontier Foundation, a founding partner of the Let's Encrypt project and the non-profit organization that develops Certbot? We'd like to send you email about our work encrypting the web, EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y

输入字母 Y 回车显明。

五、 钦赐域名

由于大家在设置nginx后不曾配置站点,所以那边须求大家提供域名,配置工具会帮大家填写nginx的安顿文件。

No names were found in your configuration files. Please enter in your domain name(s) (comma and/or space separated)  (Enter 'c' to cancel): www.xxxx.com xxx.xxxx.com

输入你和睦的域名(四个域名中间用空格隔绝卡塔尔国回车分明。

六、 重定向

会询问你是否要把具有http诉求重定向到https。当然要了~

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for new sites, or if you're confident your site works on HTTPS. 
You can undo this change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2

输入数字 2 回车鲜明。

七、 完成

此时铺排已经实现。你能够在接下去的输出中找到如下段落:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations! You have successfully enabled https://www.xxxx.com and https://xxx.xxxx.com

You should test your configuration at:
https://www.ssllabs.com/ssltest/analyze.html?d=www.xxxx.com
https://www.ssllabs.com/ssltest/analyze.html?d=xxx.xxxx.com
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

情趣便是您早就打响布署了 www.xxxx.com xxx.xxxx.com 五个域名(正是在
步骤五 输入的那八个,当然,你输入了有个别个这里就能够显得多少个卡塔 尔(阿拉伯语:قطر‎。
并且你能够在 那一个网址上测量试验域名的图景。

八、 证书过期

是因为 Let’s Encrypt
的免费证书保藏期是90天,所以你须求每80几天再一次申请三遍。

Certbot 能够通过不难的指令完毕那些专门的学业:

certbot renew

只要你要么以为费力,能够把那几个操作设为准时职责,每80几天运维贰回,就足以高枕而卧了。

其他

补助https的nginx已经完全配置完毕。接下来把您的站点位于nginx的目录下就能够,日常是
/usr/share/nginx/html
若是不是此处,你能够在nginx的配备文件里找到,配置文件位于
/etc/nginx/nginx.conf

在浏览器中开荒站点,就会见到地点栏上的小绿锁了~


原稿公布于