烂笔头

在CentOS6,CentOS7安装 Let'sEncrypt 免费SSL安全证书

相对来说,个人网站建立SSL是昂贵的,而且往往过程繁琐。一个标准的2048位证书费用至少150美元/年,网站除了要支付一笔昂贵的费用、重新配置Web服务器,并需要解决大量的配置错误。这让广大中小网站望而生畏。

然而,Let's Encrypt免费证书的开放,极大推进了国内 HTTPS 的进程。Let's Encrypt 真正的意义在于,它推动了 HTTPS 在小型网站和个人网站中的应用,加速全面 HTTPS 时代的到来。Let's Encrypt 的最大贡献是它的 ACME 协议,第一份全自动服务器身份验证协议,以及配套的基础设施和客户端。这是为了解决一直以来 HTTPS TLS X.509 PKI 信任模型,即证书权威(Certificate Authority, CA)模型缺陷的一个起步。

Let'sEncrypt的工作原理

看图:

ACME 解决了私钥持有者验证自己身份这一过程的自动化问题。

在CentOS6,CentOS7上安装Let's Encrypt

非营利组织电子前沿基金会的CertBot是一个很好的工具,我们使用它来安装Let's Encrypt

一、升级系统

  1. # yum -y update

二、安装EPEL库,为CertBot提供最新的Python包。

  1. # yum -y install epel-release

三、下载CertBot

1、CentOS7:

  1. # yum -y install python-certbot-apache

2、CentOS6:

  1. # wget https://dl.eff.org/certbot-auto

  2. # chmod 755 certbot-auto

四、Apache下配置Let's Encrypt

执行下条命令

  1. # ./certbot-auto --apache

根据提示操作

  1. /root/.local/share/letsencrypt/lib/python2.6/site-packages/cryptography/__init__.py:26:DeprecationWarning: Python 2.6 is no longer supported by the Python core team, please upgrade your Python. A future version of cryptography will drop support for Python 2.6

  2. DeprecationWarning

  3. Saving debug log to /var/log/letsencrypt/letsencrypt.log

  4. Enter email address (used for urgent renewal and security notices) (Enter 'c' to

  5. cancel):输入管理员邮箱

  6.  

  7. -------------------------------------------------------------------------------

  8. Please read the Terms of Service at

  9. https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf. You must agree

  10. in order to register with the ACME server at

  11. https://acme-v01.api.letsencrypt.org/directory

  12. -------------------------------------------------------------------------------

  13. (A)gree/(C)ancel: A

  14.  

  15. -------------------------------------------------------------------------------

  16. Would you be willing to share your email address with the Electronic Frontier

  17. Foundation, a founding partner of the Let's Encrypt project and the non-profit

  18. organization that develops Certbot? We'd like to send you email about EFF and

  19. our work to encrypt the web, protect its users and defend digital rights.

  20. -------------------------------------------------------------------------------

  21. (Y)es/(N)o: Y

  22.  

  23. Which names would you like to activate HTTPS for?

  24. -------------------------------------------------------------------------------

  25. 1: www.xi-chuang.com

  26. -------------------------------------------------------------------------------

  27. Select the appropriate numbers separated by commas and/or spaces, or leave input

  28. blank to select all options shown (Enter 'c' to cancel):1

  29. Obtaining a new certificate

成功后,在/etc/letsencrypt/live/www.xi-chuang.com/下生成4个证书:

  1. cert.pem ->

  2. chain.pem ->

  3. fullchain.pem ->

  4. privkey.pem ->

五、打开防火墙iptables的443端口

  1. -A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT

  2. #service iptables restart

六、编辑ssl.conf

vi /etc/httpd/conf.d/ssl.conf

  1. # General setup for the virtual host, inherited from global configuration

  2. DocumentRoot "/var/www/html/xi-chuang.com"

  3. ServerName www.xi-chuang.com:443

  4. .

  5. .

  6. .

  7. SSLCertificateFile /etc/letsencrypt/live/www.xi-chuang.com/fullchain.pem

  8. .

  9. .

  10. .

  11. SSLCertificateKeyFile /etc/letsencrypt/live/www.xi-chuang.com/privkey.pem

  12. .

  13. .

  14. .

service httpd restart

七、这个时候网站HTTPS已经能够访问了,试一下

最后,通过.htaccess进行301转向

  1. RewriteEngine On

  2. RewriteCond %{SERVER_PORT} 80

  3. RewriteRule ^(.*)$ https://www.xi-chuang.com/$1 [R=301,L]

  4. RewriteCond %{HTTP_HOST} !^www.xi-chuang.com$ [NC]

  5. RewriteRule ^(.*)$ https://www.xi-chuang.com/$1 [L,R=301]

八、大功告成

注意:Let'sEncrypt的证书有效期为90天,因此,建议使用cron作业在证书到期前一周将证书renew


转载自:http://www.cnblogs.com/suiyuewuxin/p/7095743.html


九、附加

另配上一个nginx的配置文档:http://www.cnblogs.com/youlechang123/p/6360798.html


站点信息
  • 文章总数:250
  • 页面总数:1
  • 分类总数:13
  • 标签总数:21
  • 评论总数:9
  • 浏览总数:44479
最近发表
网站分类
«   2017年11月   »
12345
6789101112
13141516171819
20212223242526
27282930
文章归档
标签列表
友情链接
网站收藏
最新留言

Copyright by bf361.com

豫ICP备16037554号