SSL证书的申请和自动续期

Let’s Encrypt 证书续期

参考

https://www.jianshu.com/p/a2d0209fa3f5

快速签发 Let’s Encrypt 证书指南

https://certbot.eff.org/

acme.sh 申请

用 acme.sh申请来自动续期ssl证书
acme说明：https://github.com/Neilpang/acme.sh/wiki/说明

通过在网站根目录存放文件来验证域名

下载acmecurl https://get.acme.sh | sh 安装完成后必须关闭当前终端，重新开启一个以使acme.sh命令生效

执行生成和自动更新命令：acme.sh --issue -d mydomain.com -d www.mydomain.com --webroot /var/www/mydomain.com/

通过在网站根目录存放文件来验证域名

acme.sh --issue -d mydomain.com -d www.mydomain.com --webroot /home/wwwroot/mydomain.com/

# 如果你用的 nginx服务器, 或者反代, acme.sh 还可以智能的从 nginx的配置中自动完成验证, 你不需要指定网站根目录:
acme.sh --issue -d mydomain.com --nginx

通过DNS解析添加TXT解析记录验证

acme.sh --issue --dns -d mydomain.com \
 --yes-I-know-dns-manual-mode-enough-go-ahead-please

# 然后, acme.sh 会生成相应的解析记录显示出来, 你只需要在你的域名管理面板中添加这条 txt 记录即可.等待解析完成之后, 重新生成证书:

acme.sh --renew -d mydomain.com \
  --yes-I-know-dns-manual-mode-enough-go-ahead-please

# 注意第二次这里用的是 --renew

安装证书 cd /etc/nginx; mkdir ssl

acme.sh  --installcert  -d  <domain>.com   \
        --key-file   /etc/nginx/ssl/<domain>.key \
        --fullchain-file /etc/nginx/ssl/fullchain.cer \
        --reloadcmd  "service nginx force-reload"

配置nginx使用ssl

server {
    listen 80 default_server;
    listen 443 http2 ssl;
    listen [::]:80 default_server;

    ssl_certificate /etc/nginx/ssl/fullchain.cer;
    ssl_certificate_key /etc/nginx/ssl/domain.key;
    #http转https
    if ($scheme = http ) {return 301 https://$host$request_uri;}
    root /var/www/html;

    index index.html index.htm index.nginx-debian.html;
    server_name _;

    ssl_certificate /etc/nginx/ssl/fullchain.cer;
    ssl_certificate_key /etc/nginx/ssl/domain.key;

    location /test {
          proxy_pass       http://127.0.0.1:3000;
          proxy_http_version 1.1;
          proxy_set_header Upgrade $http_upgrade;
          proxy_set_header Connection "upgrade";
    }
}