用户工具

站点工具


letsencrypt:memo

Let's Encrypt 笔记

说说我的环境: FreeBSD Jail. 因为letsencrypt用的是python, 而且直接往/etc写, 我就想把它单独开. 另外还有git要bash等…

目前BETA使用的是acme-v01.api.letsencrypt.org服务器

手动模式

好处

  • 不和任何端口冲突
  • 可以在任何地方运行letsencrypt

坏处

  • 需要配置下web server
  • 需要自己放置验证文件

详解

NGINX预配置

添加以下设置到验证的域名的80 http配置

location /.well-known {
  default_type text/plain;
}

申请证书

$ letsencrypt --server https://acme-v01.api.letsencrypt.org/directory -a manual -d hshh.org -d www.hshh.org certonly

多个 “-d 域名” 将生成SAN证书.

执行以上命令会提示需要在相应的域目录下/.well-known/acme-challenge/添加验证文件, 手动放入后验证通过.

吊销证书

$ cd /etc/letsencrypt/live/hshh.org/
$ letsencrypt --server https://acme-v01.api.letsencrypt.org/directory revoke --cert-path cert.pem

NGINX HTTPS 配置

listen 443 ssl http2;
listen [::]:443 ssl http2;
ssl_certificate /path/etc/letsencrypt/live/hshh.org/fullchain.pem;
ssl_certificate_key /path/etc/letsencrypt/live/hshh.org/privkey.pem;
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security max-age=31536000;

NGINX HTTP 配置

return 301 https://$server_name$request_uri;

Web Root 模式

其中申请证书修改为

$ letsencrypt --server https://acme-v01.api.letsencrypt.org/directory -a webroot --webroot-path /path/web/documentroot -d hshh.org certonly
letsencrypt/memo.txt · 最后更改: 2015/12/04 17:08 由 Hshh