nginx如何防止ssl憑證過期

nginx如何防止ssl憑證過期？

nginx配置免費SSL憑證及憑證定時更新

環境contos 6,憑證發行Let's Encrypt

憑證產生前提是網域名稱是可用的，即已經備案通過並且有DNS解析到了具體IP

1、安裝epel,

>yum install epel-release

2、下載certbot證書生成工具certbot-auto

>wget https://dl.eff.org/certbot-auto --no-check-certificate

3 、安裝工具的依賴

>chmod +x certbot-auto
>./certbot-auto -n

4、產生憑證

單網域：

>./certbot-auto certonly --email my@163.com --agree-tos --no-eff-email --webroot -w /usr/local/nginx/html/xue/ -d www.xue37.cn

注意：取代郵箱、網站目錄和網域

多網域：

>./certbot-auto certonly --email my@163.com --agree-tos --no-eff-email --webroot -w /usr/local/nginx/html/xue/ -d www.xue37.cn -d xue37.cn

憑證產生在/etc/letsencrypt/live/www.xue37.cn/目錄下（具體產生位址執行完指令有提示訊息）

5、憑證延期（因為憑證有效期限為90天）

certbot-auto工具支援憑證延期操作，因此可以使用crontab定時任務定時自動延期

>0 3 * * * /root/certbot-auto renew --disable-hook-validation --renew-hook "/usr/local/nginx/sbin/nginx -s reload"

每天3點進行憑證延期，crontab表達式自己可以百度

注意：

自己可以先單獨執行一下：

/root/certbot-auto renew --disable-hook-validation --renew-hook "/usr/local/nginx/sbin/nginx -s reload"

我這裡提示The following certs are not due for renewal yet，表示憑證未到期，沒有其他錯誤。因此為了防止憑證失效時間過久，這裡可以設定為每天進行延期操作

#6、nginx增加憑證設定

server
{
listen 443 ssl;
server_name www.xue37.cn;     ##这里是你的域名
ssl_certificate /etc/letsencrypt/live/www.xue37.cn/fullchain.pem;    #前面生成的证书，改一下里面的域名就行
ssl_certificate_key /etc/letsencrypt/live/www.xue37.cn/privkey.pem;   #前面生成的密钥，改一下里面的域名就行
ssl_ciphers ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!AESGCM;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
access_log /data/application/logs/xue.access.log main;
location ^~ /bot {
proxy_pass http://xue-server;
include proxy-params.conf;
}
location / {
root html/xue;
index index.html index.htm;
}
location = /50x.html {
root html;
}
}

7、設定80埠301到443

#修改nginx設定：

server
{
listen 80;
server_name localhost;
location /.well-known/ {
add_header Content-Type 'text/plain;';
root /usr/local/nginx/html/xue;
}
location / {
return 301 https://www.xue37.cn$request_uri;
}
}

注意：nginx修改後需要重新啟動：/usr/local/nginx/sbin/nginx -s reload

注意：nginx設定需要處理

location ~ /\.
{
deny all;
}

這段設定刪掉或註解掉或在這段設定前面加上（如果沒有這段設定請忽略）

location ~ /.well-known {
allow all;
}

更多Nginx相關技術文章，請造訪Nginx使用教學欄位進行學習！

以上是nginx如何防止ssl憑證過期的詳細內容。更多資訊請關注PHP中文網其他相關文章！