Let’s Encrypt SSL 证书安装(CentOS+Nginx) 以及评分和自动更新

昨天试了godaddy的SSL证书,发现并不是那么好用,研究了下Let’s Encrypt。现在很多个人网站都转到Let’s Encrypt,而且他家来历不小,各个大公司都对它进行了赞助。Let’s Encrypt主要的存在意义是普及SSL证书,让全网加速进入https时代,虽然是开源项目,但是免费提供3个月的SSL,还是很受欢迎的。(3个月无所谓啦, 写个程序自动续费即可)

安装部署方法网上很多,自己研究了下,最简单的方法如下:

假设centos 6 已经安装nginx服务,其他版本的指令不明白可以留言。

安装git和epel

yum install git

yum install epel

然后切换目录clone以下git

cd /opt
git clone https://github.com/letsencrypt/letsencrypt

然后停止nginx服务,切换目录,然后安装。

service nginx stop
cd /opt/letsencrypt
./letsencrypt-auto certonly --standalone -d your_domain.tld -d www.yourdomain.tld

之后根据指示输入邮箱等信息,等待验证域名,不过他的验证域名有些问题,多试几次吧。

—————————安装已经完成,以下都都是配置————————

nginx配置我写下重点,不懂的问。

listen 443 ssl default_server;
ssl_certificate /etc/letsencrypt/live/your_domain.tld/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/your_domain.tld/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';

搞定之后去ssllab做下测试和评分,https://www.ssllabs.com/ssltest/analyze.html

评测完成之后,发现weak DH key exchange的问题,解决方法如下:

mkdir /etc/nginx/ssl
cd /etc/nginx/ssl
openssl dhparam -out dhparams.pem 4096

然后# vi /etc/nginx/nginx.conf 加入:


看完了?留个评分呗?
[0人评了分,平均: 0/5]

本站原创文章皆遵循“署名-非商业性使用-相同方式共享 3.0 (CC BY-NC-SA 3.0)”。转载请保留以下标注:

原文来源:《Let’s Encrypt SSL 证书安装(CentOS+Nginx) 以及评分和自动更新》

发表评论

邮箱地址不会被公开。

返回顶部