letsencrypt:memo
这是本文档旧的修订版!
Let's Encrypt 笔记
说说我的环境: FreeBSD Jail. 因为letsencrypt用的是python, 而且直接往/etc写, 我就想把它单独开. 另外还有git要bash等…
目前BETA使用的是acme-v01.api.letsencrypt.org服务器
手动模式
好处
- 不和任何端口冲突
- 可以在任何地方运行letsencrypt
坏处
- 需要配置下web server
- 需要自己放置验证文件
详解
NGINX预配置
添加以下设置到验证的域名的80 http配置
location /.well-known { default_type text/plain; }
申请证书
$ letsencrypt --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory -a manual -d hshh.org -d www.hshh.org certonly
多个 “-d 域名” 将生成SAN证书.
执行以上命令会提示需要在相应的域目录下/.well-known/acme-challenge/添加验证文件, 手动放入后验证通过.
吊销证书
$ cd /etc/letsencrypt/live/hshh.org/ $ letsencrypt --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory revoke --cert-path cert.pem
NGINX HTTPS 配置
listen 443 ssl http2; listen [::]:443 ssl http2; ssl_certificate /path/etc/letsencrypt/live/hshh.org/fullchain.pem; ssl_certificate_key /path/etc/letsencrypt/live/hshh.org/privkey.pem; ssl_stapling on; ssl_stapling_verify on; add_header Strict-Transport-Security max-age=31536000;
NGINX HTTP 配置
return 301 https://$server_name$request_uri;
Web Root 模式
其中申请证书修改为
$ letsencrypt --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory -a webroot --webroot-path /path/web/documentroot -d hshh.org certonly
letsencrypt/memo.1448959768.txt.gz · 最后更改: 2015/12/01 16:49 由 Hshh