通过 Let’s Encrypt 生成SSL 证书具体方法

Let’s Encrypt 是一个由非营利性组织 互联网安全研究小组（ISRG）提供的免费、自动化和开放的证书颁发机构（CA）。

简单的说，借助 Let’s Encrypt 颁发的证书可以为我们的网站免费启用 HTTPS(SSL/TLS) 。

安装和使用

安装

cerbot/Let’s Encrypt 支持众多 Linux 发行版，也支持 BSD 平台，可直接使用相应的包管理工具进行安装：

Ubuntu 16.04
sudo apt-get install letsencrypt -t jessie-backports # Debian 8
sudo apt-get install letsencrypt # Debian testing/unstable
sudo dnf install letsencrypt # Fedora
sudo pacman -S letsencrypt # Arch

Ubuntu 14.04、CentOS、BSD 以及 Mac 下可以通过脚本安装：

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

获取证书

certbot-auto certonly # 如果安装的是 letsencrypt 把 certbot-auto 替换成 letsencrypt 即可

自动续期

certbot-auto renew --quiet # CentOS/RHEL

部署 Nginx

# 将所有 HTTP 请求指向 HTTPS
server {
server_name example.com;
listen 80;
return 301 https://$server_name$request_uri;
}

# 监听 HTTPS 请求
server {
server_name example.com;
listen 443 ssl;

# TLS 基本设置
ssl_certificate /path/to/your/fullchain.pem;
ssl_certificate_key /path/to/your/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

# 网站的其它设置不变
# [...]
}