letsencrypt已经全面进入公测阶段,任何人都可以申请。Let’s Encrypt计划是由Mozilla、思科、Akamai、IdenTrust、EFF 和密歇根大学研究人员等合作推出的为网站提供免费SSL 证书,加速将Web从HTTP过渡到HTTPS的项目。该项目经过数次跳票,已经于12.3日正式公测。试着申请了一个,发现过程很简单,都不用提交csr等东东了。不过偶试了centos没成功,在debian上面倒是操作成功了,估摸着是Python版本问题。需要注意的一点是申请证书之前把域名A记录指向你申请证书的那台vps。以下是代码:
1 2 3 4 |
apt-get install git git clone https://github.com/letsencrypt/letsencrypt cd letsencrypt ./letsencrypt-auto certonly --server https://acme-v01.api.letsencrypt.org/directory --agree-dev-preview |
以上命令执行完毕后会出现UI 界面要求你输入email地址
输入email地址后同意许可协议,然后会提示你输入域名例如cmsky.com,多个域名使用逗号或空格分隔。
点击OK后,用不了一会如果成功生成证书会出现“Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/cmsky.com/fullchain.pem.”等提示。
接着去/etc/letsencrypt/live/cmsky.com/文件夹下你会发现4个pem文件,其中fullchain.pem就是配置https站点需要使用的crt文件,privkey.pem就是key文件。接下来就去试试吧。
在 NGINX 的配置文件中将下面两行设置成 Let's Encrypt 的实际路径即可:
ssl_certificate /etc/letsencrypt/live/cmsky.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/cmsky.com/privkey.pem;
另外需要注意的是目前证书有效期为 90 天,之后需要手动续期。
项目首页:https://letsencrypt.org/
Github地址:https://github.com/letsencrypt/letsencrypt