Exemples de comment obtenir un certificat SSL gratuit et permanent via les didacticiels et FAQ Let's Encrypt.

L'émergence du certificat SSL gratuit de Let's Encrypt aura également un impact important sur les commerçants traditionnels qui fournissent des services de certificat SSL payants. Jusqu'à présent, Let's Encrypt a été signé par IdenTrust, ce qui signifie qu'il peut être appliqué et pris en charge par les navigateurs grand public, notamment FireFox et Chrome. Bien qu'il soit actuellement en phase bêta publique, de nombreux utilisateurs travaillent également sur leurs propres projets de sites Web. . officiellement utilisé en Chine.

Bien que le certificat SSL gratuit actuel de Let's Encrypt soit valable 90 jours par défaut, nous pouvons également le renouveler automatiquement à l'expiration, ce qui n'affecte pas nos tentatives et notre utilisation.

Tout d'abord, les préparatifs avant d'installer Let's Encrypt

Selon les exigences officielles, nous avons besoin d'une assistance système avant de déployer les certificats SSL gratuits de Let's Encrypt sur des VPS et des serveurs Python 2.7 ou supérieur. et prend en charge les outils GIT.

Ceci doit être installé et mis à niveau en fonction de nos différentes versions de système, car les versions fournies par certains fournisseurs de services sont entièrement compatibles, notamment la compatibilité de l'environnement Debian est meilleure que CentOS.

Par exemple, l'environnement CentOS 6 64 bits ne prend pas en charge GIT. Nous pouvons également nous référer au « Tutoriel sur l'environnement de l'outil Git d'installation du système Linux CentOS 6 64 bits » et aux « 9 étapes pour mettre à niveau la version Python du système CentOS5 vers la version Python. 2,7" pour l'installation et la mise à niveau.

Le plus simple est que l'environnement Debian ne le supporte pas. Vous pouvez exécuter "apt-get -y install git" pour installer directement le support. S'il s'agit de CentOS, exécutez directement "yum -y install git-". noyau" pour le support.

Discutez et recherchez des solutions à cette problématique spécifique, car chaque environnement et distribution marchande peut être différent.

L'environnement que j'utilise est centos7, je vais donc prendre cela comme exemple.

Deuxièmement, obtenez rapidement le certificat SSL gratuit de Let's Encrypt

L'obtention du certificat et sa mise en page sont encore relativement compliqués. Let's Encrypt a dû envisager la vulgarisation du HTTPS pour le rendre populaire. Les utilisateurs obtiennent et déploient simplement des certificats SSL, ils peuvent donc utiliser le déploiement simple en un clic suivant pour obtenir le certificat.

git clone https://github.com/letsencrypt/letsencryptcd letsencrypt
./letsencrypt-auto certonly --standalone --email admin@***.com -d ***.com -d www.***.com

Ensuite, exécutez le script ci-dessus. Nous devons changer le nom de domaine par celui que nous devons déployer en fonction des conditions réelles de notre site.

J'utilise le serveur proxy nginx

Une petite attention : Si nginx est démarré, le certificat peut ne pas être généré, veuillez fermer nginx avant de l'exécuter le script ci-dessus.

Après avoir exécuté le script, l'option Accepter ou Annuler apparaîtra

Remplissez A et appuyez sur Entrée

Troisièmement, obtenez et appliquez le certificat SSL gratuit Let's Encrypt

Après avoir terminé la génération du certificat Let's Encrypt, nous allons dans "/etc/letsencrypt/live/* * *.com/"Il y a 4 fichiers dans le répertoire du nom de domaine qui sont les fichiers de certificat de clé générés.

cert.pem - Certificat côté serveur Apache

chain.pem - Certificat racine Apache et certificat de relais
fullchain.pem - fichier ssl_certificate requis par Nginx
privkey.pem - CLÉ du certificat de sécurité Fichier

L'environnement Nginx que j'utilise nécessite l'utilisation de deux fichiers de certificat, fullchain.pem et privkey.pem.

ssl_certificate /etc/letsencrypt/live/***.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/***.com/privkey.pem;

Dans l'environnement Nginx, définissez simplement les chemins ssl_certificate et ssl_certificate_key correspondants vers les deux fichiers que nous avons générés. Il est préférable de ne pas déplacer et de copier le. fichier, car lors du renouvellement, vous pouvez directement renouveler le fichier répertoire généré, et il n'est pas nécessaire de le copier manuellement.

Quatrièmement, résoudre le problème de la période de validité du certificat SSL gratuit Let's Encrypt

Nous générer à partir de Comme vous pouvez le voir sur le fichier, le certificat Let's Encrypt est valable 90 jours et doit être mis à jour et renouvelé manuellement.

./letsencrypt-auto certonly --renew-by-default --email admin@***.com -d ***.com -d www.***.com

De cette façon, nous pouvons résoudre le problème du renouvellement en l'exécutant à nouveau dans les 90 jours, afin que nous puissions continuer à l'utiliser pendant 90 jours . Si nous avons peur d'oublier, nous pouvons également créer une tâche d'exécution planifiée, par exemple une fois par mois.

Cinquième, résumé sur le certificat SSL gratuit Let's Encrypt

A - Problèmes de DNS et de résolution du nom de domaine. Lors de la configuration du certificat SSL gratuit Let's Encrypt, le nom de domaine doit être résolu sur le serveur VPS actuel et le DNS doit utiliser le nom de domaine DNS étranger. Si vous utilisez le DNS gratuit national, vous risquez de ne pas obtenir l'erreur.

B - Avant d'installer Let's Encrypt et de le déployer, le serveur doit prendre en charge l'environnement PYTHON2.7 et GIT, sinon il ne pourra pas être déployé.

C - Vous devez fermer le serveur proxy nginx et exécuter la commande generate certificate pour générer avec succès le certificat.

D - Let's Encrypt est gratuit pendant 90 jours par défaut et nécessite un renouvellement manuel ou automatique avant de pouvoir continuer à l'utiliser.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!