Comment empêcher l'expiration du certificat SSL dans nginx

Comment nginx empêche-t-il l'expiration du certificat SSL ?

nginx configure des certificats SSL gratuits et des mises à jour régulières des certificats

Environnement contos 6, émission de certificat Let's Encrypt

La condition préalable à la génération de certificat est que le nom de domaine est disponible, c'est-à-dire qu'il a été enregistré et résolu en une adresse IP spécifique par DNS

1 Installez epel,

>yum install epel-release

2 Téléchargez l'outil de génération de certificat certbot. certbot-auto

>wget https://dl.eff.org/certbot-auto --no-check-certificate

3 , Dépendances des outils d'installation

>chmod +x certbot-auto
>./certbot-auto -n

4. Générer un certificat

Nom de domaine unique :

>./certbot-auto certonly --email my@163.com --agree-tos --no-eff-email --webroot -w /usr/local/nginx/html/xue/ -d www.xue37.cn

Remarque : Remplacer l'e-mail, le site Web répertoire et nom de domaine

Noms de domaine multiples :

>./certbot-auto certonly --email my@163.com --agree-tos --no-eff-email --webroot -w /usr/local/nginx/html/xue/ -d www.xue37.cn -d xue37.cn

Le certificat est généré dans le répertoire /etc/letsencrypt/live/www.xue37.cn/ (il y aura un message d'invite après l'exécution la commande à l'adresse spécifique générée)

5. Extension du certificat (car la période de validité du certificat est de 90 jours)

L'outil certbot-auto prend en charge les opérations d'extension de certificat, vous pouvez donc utilisez la tâche planifiée crontab pour étendre automatiquement le certificat régulièrement

>0 3 * * * /root/certbot-auto renew --disable-hook-validation --renew-hook "/usr/local/nginx/sbin/nginx -s reload"

Effectuez l'extension du certificat à 3 heures tous les jours, et l'expression crontab peut être Baidu vous-même

Remarque :

Vous pouvez d'abord l'exécuter séparément :

/root/certbot-auto renew --disable-hook-validation --renew-hook "/usr/local/nginx/sbin/nginx -s reload"

Je suis invité ici. Les certificats suivants ne doivent pas encore être renouvelés, ce qui signifie que le certificat n'a pas expiré et qu'il n'y a pas d'autres erreurs. Par conséquent, afin d'éviter que le certificat n'expire trop longtemps, vous pouvez le configurer pour effectuer des opérations d'extension tous les jours

6 Ajouter la configuration du certificat à nginx

server
{
listen 443 ssl;
server_name www.xue37.cn;     ##这里是你的域名
ssl_certificate /etc/letsencrypt/live/www.xue37.cn/fullchain.pem;    #前面生成的证书，改一下里面的域名就行
ssl_certificate_key /etc/letsencrypt/live/www.xue37.cn/privkey.pem;   #前面生成的密钥，改一下里面的域名就行
ssl_ciphers ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!AESGCM;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
access_log /data/application/logs/xue.access.log main;
location ^~ /bot {
proxy_pass http://xue-server;
include proxy-params.conf;
}
location / {
root html/xue;
index index.html index.htm;
}
location = /50x.html {
root html;
}
}

Définir 80 port 301. à 443

Modifier la configuration de nginx :

server
{
listen 80;
server_name localhost;
location /.well-known/ {
add_header Content-Type 'text/plain;';
root /usr/local/nginx/html/xue;
}
location / {
return 301 https://www.xue37.cn$request_uri;
}
}

Remarque : nginx doit être redémarré après modification : /usr/local/nginx/sbin/nginx -s reload

Remarque : La configuration nginx doit être traitée

location ~ /\.
{
deny all;
}

Supprimez ou commentez cette configuration ou ajoutez-la devant cette configuration (veuillez l'ignorer s'il n'existe pas de telle configuration)

location ~ /.well-known {
allow all;
}

Pour plus d'informations techniques liées à Nginx articles, veuillez visiter le Tutoriel d'utilisation de NginxColonne pour apprendre !

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!