使用免费的 ssl证书Let’s Encrypt让网站实现https(付安装配置详细过程)
日 由 admin
想到来启用https，想必应该也知道ssl的作用了。最主要其实就是为了防止访问你网站的用户跟你网站服务器直接的交换数据或者说通信被窃取，比如：用户登录你网站的用户密码。
不废话，直接进入主题。
我的vps是centos6 64位的，网站所使用的环境是这哥们的lnmpa一键安装包：/31.html
一，首先，确保你网站域名使用的dns不是国内的，比如万网，dnspod之类的，dnspod国际版本也不行，我一开始就使用的dnspod国际版本，结果报错:
Error: The server could not connect to the client
推荐使用cloudflare,同时域名要解析到vps上来，否则也无法正常获取证书。
网站在使用他脚本搭建的时候，不要选择ssl，否则脚本配置文件，修改很蛋疼。咱们只要先直接搭建普通http网站即可。
网站搭建好了，再进行下一步。
二，关闭nginx,因为Let’s Encrypt会占用80端口来验证咱们域名的所有权。
然后进入咱们网站目录的上一级建个文件夹，用来安装运行Let’s Encrypt
这里，我的网站路径为：/data/wwwroot/
service nginx stop
cd /data/wwwroot/
git clone /letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto certonly - -d
这里注意，–debug这个要复制进去，我一开始就是没复制这个，导致报错
WARNING: Python 2.6 support is very experimental at present…
if you would like to work on improving it, please ensure you have backups
and then run this script again with the –debug flag!
另外最后不带www以及带www都要申请，他会整到一个证书里，当然，如果你有这个域名的其他二级域名，也想使用这个证书，可以一起写进去。
三，如果没有报其他错误的话，然后进入 /etc/letsencrypt/ 这个目录下，应该可以看到证书了。
一共有四个文件,我们用到的只是其中两个文件，不过，咱们不用管他，看到有文件在，就ok。
fullchain.pem
privkey.pem
四，接下来，我们修改配置文件。
原来默认的配置文件是：
listen 80;
index index.html index.htm index.
root /data/wwwroot/;
if ($host != ) {
rewrite ^/(.*)$ $scheme:///$1
location / {
try_files $uri @
location @apache {
proxy_pass http://127.0.0.1:88;
include proxy.
location ~ .*\.(php|php5|cgi|pl)?$ {
proxy_pass http://127.0.0.1:88;
include proxy.
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|flv|ico)$ {
expires 30d;
location ~ .*\.(js|css)?$ {
expires 7d;
咱们把他改为：
listen 80;
rewrite ^(.*)$ https://$host$1
return 301 $request_
listen 443
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_
ssl_session_cache shared:SSL:10m;
ssl_dhparam /opt/dhparam/keys/dhparams.
ssl_certificate /etc/letsencrypt//fullchain.
ssl_certificate_key /etc/letsencrypt//privkey.
index index.html index.htm index.
root /data/wwwroot/;
if ($host != ) {
rewrite ^/(.*)$ $scheme:///$1
location / {
try_files $uri @
location @apache {
proxy_pass http://127.0.0.1:88;
include proxy.
location ~ .*\.(php|php5|cgi|pl)?$ {
proxy_pass http://127.0.0.1:88;
include proxy.
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|flv|ico)$ {
expires 30d;
location ~ .*\.(js|css)?$ {
expires 7d;
因为配置文件里，有这一句， ssl_dhparam /opt/dhparam/keys/dhparams.
所以咱们还得生成这个。
mkdir dhparam
cd dhparam
mkdir keys
openssl dhparam -out dhparams.pem 2048
chmod 700 keys
openssl dhparam -out dhparams.pem 2048 执行这一步骤，需要等待的时间有点长。可能要两三分钟，咱们耐心等待一会即可。
五，ok，搞定，启动nginx即可。如果你不喜欢用cloudflare的dns，这个时候，可以再把dns切换回来。
service nginx start
网站已经实现https了，拿到测试一下安全性。
嗯不错，评级为A。
湖南SEO研究中心是叠鹤的博客,中心创立2008年5月,致力于网站优化和网络营销推广研究.目前主要专注于谷歌英文优化,adwords竞价,黑帽SEO软件, 英文SEO工具的使用方法和经验分享: XRumer, Scrapebox,Senukex,AMR,BMD,TBS......
联系 QQ：705762
微信号：gerenrizhi
邮箱：heixia@
订阅大礼包如下：
中英文SEO入门操作手册+优化精髓.pdf
英文SEO外链高级操作宝典.pdf
一百个高质量的英文网站链接.xls
Zenno-Poster-Pro-3.6_英文破解版.rar
Xrumer_7.0.12 Hrefer_3.85虚拟机版.zip
xrumer505中文修正版(profile利器).rar
SliqSubmitterPlus 2.5目录提交软件+资源
xRumer中文汉化包
不定期提供各种收费软件破解版以及相关操作视频下载
湖南SEO研究中心分类
湖南SEO最新文章
湖南SEO关注网站
网站实时统计
Change this text in the admin section of WordPress1.安装git和bc
yum -y install git bc
2.安装Nginx
（1）准备：
yum install -y gcc-c++ pcre pcre-devel zlib zlib-devel openssl openssl-devel（2）下载：
wget https://nginx.org/download/nginx-1.11.6.tar.gz（3）解压：
tar zxvf nginx-1.11.6.tar.gz（4）编译安装：&
cd nginx-1.11.6
./configure --with-ipv6 --with-http_ssl_module
make install
3.申请SSL证书
（1）下载Let’s Encrypt&&
git clone /wjg/certbot.git（2）运行Let’s Encrypt
cd certbot
./letsencrypt-auto& & 生成文件： &
cert.pem: 域名证书
chain.pem: The Let’s Encrypt 证书
fullchain.pem: 上面两者合体
privkey.pem: 证书密钥
4.配置Nginx
（1）修改nginx.conf文件& & &
nano /usr/local/nginx/conf/nginx.conf（2）添加： &
ssl_certificate /etc/letsencrypt/live/域名/fullchain.
ssl_certificate_key /etc/letsencrypt/live/域名/privkey.（3）修改：
server_name 域名;
5.自动续签证书
& & 创建定时任务执行 letsencrypt路径/letsencrypt-auto renew
& & 例如：
crontab -e
30 2 * * 1 letsencrypt路径/letsencrypt-auto renew
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：341136次
积分：8434
积分：8434
排名：第1747名
原创：471篇
转载：182篇
评论：55条
文章：10篇
阅读：13971
(16)(23)(12)(22)(53)(48)(56)(57)(219)(102)(7)(1)(13)(22)查看: 3408|回复: 23
letsencrypt怎么签发证书？没看懂
RT。。。。。。客户端安装好了。
好像是敲命令还是怎样
apt-get install git
git clone /letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto certonly --server https://acme-v01.api.letsencrypt.org/directory --agree-dev-preview
运行完以上命令会弹出一个蓝色UI窗口，输入email，然后同意TOS，输入域名，之后出现“Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt//fullchain.pem.”等提示就是成功了。接着去/etc/letsencrypt//文件夹下你会发现4个pem文件，其中fullchain.pem就是配置https站点需要使用的crt文件，privkey.pem就是key文件。今天捣鼓了一下成功了，我记在博客里了，不过不敢发出来，毕竟loc惯例不能发地址。
apt-get install git
git clone /letsencrypt/letsencrypt
cd letsencrypt
可以发在论坛啊...造福社区和人类, 人人为我, 我为人人
apt-get install git
git clone /letsencrypt/letsencrypt
cd letsencrypt
centos 下用不了？
可以发在论坛啊...造福社区和人类, 人人为我, 我为人人
/lets-encrypt-ssl/
俺只是截了几个图记录了下过程，没啥技术含量，大侠们海涵。
centos 下用不了？
centos我没试成功，好像是因为python2.6的问题，另一台vps debian7.8 pythone2.7.3成功。
/lets-encrypt-ssl/
俺只是截了几个图记录了下过程，没啥技术含量，大侠们海涵。 ...
写得不错, 你的网站也很大气
写得不错, 你的网站也很大气
谢谢夸奖，平常用来记笔记的博客！
centos 下用不了？
Powered by