社区首页 >专栏 >Let's Encrypt 安装配置教程，免费的 SSL 证书

Let's Encrypt 安装配置教程，免费的 SSL 证书

原创

用户6884826

修改于 2021-07-09 03:16:31

4.4K00

代码可运行

文章被收录于专栏：用户6884826的专栏用户6884826的专栏

运行总次数：0

代码可运行

安装Let's Encrypt

安装非常简单直接克隆就可以了

git clone https://github.com/letsencrypt/letsencrypt

生成通配符证书

期间需要根据提示设置DNS TXT记录,用作你对判断你是否拥有域名使用权

 cd letsencrypt
./certbot-auto certonly  -d *.you.cn --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory

其中"you.cn"换成你的一级域名即可

参数	说明
certonly	表示安装模式，Certbot 有安装模式和验证模式两种类型的插件。
--manual	表示手动安装插件，Certbot 有很多插件，不同的插件都可以申请证书，用户可以根据需要自行选择
-d	为那些主机申请证书，如果是通配符，输入 *.you.cn（可以替换为你自己的一级域名）
--preferred-challenges dns	使用 DNS 方式校验域名所有权
--server	Let's Encrypt ACME v2 版本使用的服务器不同于 v1 版本，需要显示指定。

接着可以看到下面界面结果：

Dependency Installed:
  dwz.x86_64 0:0.11-3.el7             perl-srpm-macros.noarch 0:1-8.el7             tcl.x86_64 1:8.5.13-8.el7             tix.x86_64 1:8.4.3-12.el7             tk.x86_64 1:8.5.13-6.el7             tkinter.x86_64 0:2.7.5-69.el7_5            

Complete!
Creating virtual environment...
Installing Python packages...
Installation succeeded.
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel): 123@163.com

接下来需要输入些指令

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(A)gree/(C)ancel: A
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: N
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for kuaichuangkeji.com

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.

Are you OK with your IP being logged?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y

这里有几个需交互的提示

是否同意 Let's Encrypt 协议要求=>需要同意
是否分享你的邮箱
询问是否对域名和机器（IP）进行绑定=>需要同意

需要注意的地方：

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name
_acme-challenge.you.cn with the following value:

RYtObhDvEcXewZckknNQkBKIkvwIlbb4PNRel74LNwU

Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue
Waiting for verification...
Cleaning up challenges

要求配置 DNS TXT 记录，从而校验域名所有权，也就是判断证书申请者是否有域名的所有权。

上面输出要求给 _acme-challenge.you.cn 配置一条 TXT 记录，在没有确认 TXT 记录生效之前不要回车执行。

我用的是阿里云的域名服务器，控制台具体操作如下图所示：

服务器域名dns配置

确认生效后，回车执行，输出如下

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/you.cn/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/you.cn/privkey.pem
   Your cert will expire on 2019-02-27. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

看到这个界面内容的话，恭喜你，证书安装成功了。

证书续签

注:证书在到期前30天才会续签成功,但为了确保证书在运行过程中不过期,官方建议每天自动执行续签两次; 使用crontab自动续期

crontab -e // 编辑定时任务
0 */12 * * * certbot renew --quiet --renew-hook "/etc/init.d/nginx reload"

需要注意"/etc/init.d/nginx reload"为nginx重启命令，需要根据自己服务器的重启命令重启即可；这里建议使用reload，不推荐使用restart，因为这样万一配错了，也不会影响服务器其他项目的运行

证书保存的路径[配置nginx需要用到的]

/etc/letsencrypt/live/you.cn/fullchain.pem
/etc/letsencrypt/live/you.cn/privkey.pem

nginx 开启 https

证书生成完成后可以到 /etc/letsencrypt/live/ 目录下查看对应域名的证书文件。编辑 nginx 配置文件监听 443 端口，启用 SSL，并配置 SSL 的公钥、私钥证书路径：

server {
   listen   443 ssl;
   server_name  you.cn;
   root /home/www/you;
   index  index.html index.htm index.php;

    ssl on;
    ssl_certificate /etc/letsencrypt/live/you.cn/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/you.cn/privkey.pem;
    ...
}

添加 HTTP 自动跳转到 HTTPS：

server {
    listen 80;
    server_name you.cn;
    location / {
        rewrite ^(.*)$  https://$host$1 permanent;
    }
}

配置好nginx后，重启nginx

证书安装成功后，该域名下的所有二级域名都可以使用噢

取消证书

可以使用一下命令取消刚刚生成的密匙，也就是以上的反操作：

certbot revoke --cert-path /etc/letsencrypt/live/you.cn/cert.pem
certbot delete --cert-name you.cn

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

nginx

dns

https

SSL 证书

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

登录后参与评论

暂无评论

编辑精选文章

换一批

万字详解高可用架构设计

5522

Go 开发者必备：Protocol Buffers 入门指南

亿级月活的社交 APP，陌陌如何做到 3 分钟定位故障？

3350

60页PPT全解：DeepSeek系列论文技术要点整理

4701

快速配置Let's encrypt通配符证书

windows iis ubuntu linux https

利用certbot工具配置Let’s encrypt通配符证书，所域名下所有的子域名都能方便的使用 https证书，而且完全免费。值得关注的是，Let’s encrypt通配符证书只是针对二级域名，并不能针对主域名，如*.hubinqiang.com和hubinqiang.com 被认为是两个域名，如果和我一样使用的是主域名，在申请的时候需要注意都要申请。

OwenZhang

2021/12/08

2.4K0

使用Let's Encrypt免费证书实现https

https nginx

Let's Encrypt是一家免费、开放、自动化的证书颁发机构（CA），为公众的利益而运行（由非盈利组织互联网安全研究小组（ISRG）运营）。

极客运维圈

2020/06/01

1.8K0

certbot免费证书-1：centos7部署并申请免费证书certbot

c++dns https 网络安全 bash

我们需要在zenlayer，aws-lb上配置certbot证书，因为是免费的，便宜。

千里行走

2022/08/31

2K0

在Ubuntu上使用Certbot申请Let’s Encrypt SSL证书

com ssl 域名字符串 ubuntu

要使用HTTPS就必须得有SSL证书。理论上，证书是可以通过像OpenSSL这样得工具生成的。不过这种证书只能自己测试用，浏览器上面是不认的，会提示用户不安全。也就是说，浏览器只接受一些特定的证书颁发机构（CA）发布的证书。正规的商业应用上，这些证书是需要像这些机构购买的。不过好在还是有像Let’s Encrypt这样开放的证书颁发机构，可以免费向其申请SSL证书，不过缺点是证书有效期只能有90天。

charlee44

2025/07/03

1320

Windows Ubuntu Bash申请免费通配符证书(Let’s Encrypt)并绑定IIS

https ubuntu windows 数据分析 bash

部署 HTTPS 网站的时候需要证书，证书由 CA 机构签发，大部分传统 CA 机构签发证书是需要收费的，这不利于推动 HTTPS 协议的使用。

星哥玩云

2022/07/13

1.9K0

Windows Ubuntu Bash申请免费通配符证书(Let’s Encrypt)并绑定IIS

如何在 CentOS 8 上使用 Let's Encrypt 保护 Nginx

SSL 证书 http https 网络安全 nginx

Let’s Encrypt 是一个免费的，自动的，开源证书供应商，它由 Internet Security Research Group (ISRG)开发。

雪梦科技

2020/05/11

2.3K0

获取Let's Encrypt免费TLS/SSL证书的那点事儿

https http 网络安全

Let's Encrypt是一个于2015年三季度推出的数字证书认证机构，旨在以自动化流程消除手动创建和安装证书的复杂流程，并推广使万维网服务器的加密连接无所不在，为安全网站提供免费的SSL/TLS证书。 -- 引自维基百科

用户1456517

2019/03/05

1.6K0

使用Let's Encrypt的SSL证书配置HTTPS手记

https

前段时间，看见很多大会都在分享全站HTTPS的经验。HTTPS固然好，前提是SSL证书，并且签发证书的机构要靠谱。沃通的CA证书就相继被Mozilla和Google封杀了。曾经对于普通用户，权威，安全，并且免费的证书无疑就像天上的星星，可望而不可及。现在，这些星星变成了馅饼掉了下来。没错，我们可以申请安全免费的ssl证书--- Let's Encrypt。 Let’s Encrypt是电子前哨基金会（EFF）发布的免费 SSL 证书服务，Google，Mozilla和Microsoft都极力支持。很早之前就

李海彬

2018/03/19

2.7K0

免费https证书安装（Nginx）

网络安全 https

对于站点来说，使用https访问能增强数据传输的安全性，避免一些安全事故，同时拥有了https认证，在主流浏览器中都被被标记为可信任的安全的网站，也能加强搜索引擎的对https站点的收录。

肓己

2021/08/12

1.8K0

Nginx配置使用certbot自动申请HTTPS证书

https 服务器配置 nginx 网站

在当今互联网环境中，网站的安全性越来越受到重视。HTTPS 作为一种能够提供加密通信和验证网站真实性的协议，已经成为网站安全的基本标准。然而，许多平台提供的 HTTPS 证书往往有有效期限制，比如腾讯云等平台目前提供的证书只有3个月的有效期。这不仅增加了证书管理的复杂性，还可能因为证书过期而导致网站访问中断。

王先森sec

2024/06/28

2.4K0

使用 Certbot 安装 Letsencrypt 证书

其他

1、拥有一个域名，例如 mydomain.com 2、在域名服务器创建一条A记录，指向云主机的公网IP地址。例如 demo.mydomain.com 指向 192.168.0.1 的IP地址 3、要等到新创建的域名解析能在公网上被解析到

SkyRiN

2018/11/20

4.8K0

获取 Let's Encrypt 免费通配符证书实现Https

https linux

说明 3月14日，Let's Encrypt的执行董事Josh Aas对外宣布，他们的通配符证书正式上线，用户可以基于此特性轻松部署/开启所有子域名的HTTPS功能。 Let's Encrypt 是国外一个公共的免费SSL项目，由 Linux 基金会托管，它的来头不小，由 Mozilla、思科、Akamai、IdenTrust 和 EFF 等组织发起，目的就是向网站自动签发和管理免费证书，以便加速互联网由 HTTP 过渡到 HTTPS，目前 Facebook 等大公司开始加入赞助行列。 Let's Encr

晓晨

2018/06/22

2.6K0

如何使用CentOS 7上的CloudFlare验证来检索让我们加密SSL通配符证书

网络安全 SSL 证书 https api dns

Let's Encrypt是一个证书颁发机构（CA），它为传输层安全性（TLS）加密供免费证书。它提供了一个名为Certbot的软件客户端，它简化了证书创建，验证，签名，安装和续订的过程。

圣人惠好可爱

2018/11/05

3.9K0

在Ubuntu 18.04上使用Let’s Encrypt保护Nginx

编程算法专用宿主机数据加密服务全站加速网络 bash

Let's Encrypt是由互联网安全研究组（ISRG）开发的免费开放认证机构。 Let's Encrypt颁发的证书现在几乎所有浏览器都信任。

星哥玩云

2022/07/13

1.5K0

如何使用CentOS 7上的CloudFlare验证来检索让我们加密SSL通配符证书

其他

Let's Encrypt 是一个证书颁发机构（CA），它为传输层安全性（TLS）加密提供免费证书。它提供了一个名为Certbot的软件客户端，它简化了证书创建，验证，签名，安装和续订的过程。

彼岸轮回

2018/10/19

3.6K1

如何使用CentOS 7上的Let's Encrypt来保护HAProxy

http apache 自动化 linux 开发者实验室

我们的加密是一个新的证书颁发机构（CA），它提供了一种获取和安装免费TLS / SSL证书的简便方法，从而在Web服务器上启用加密的HTTPS。它通过提供软件客户端Certbot来简化流程，该客户端尝试自动执行大多数所需步骤。目前，获取和安装证书的整个过程仅在Apache Web服务器上完全自动化。但是，无论您选择哪种Web服务器软件，都可以使用Certbot轻松获取免费的SSL证书，该证书可以手动安装。

尘埃

2018/10/15

2.4K0

在 CentOS 8 上使用 Let’s Encrypt 保护 Apache

SSL 证书 apache http https 网络安全

Let’s Encrypt 是一个免费的，自动的，开放证书供应商。它由提供免费 SSL 证书的 Internet Security Research Group（ISRG）开发。

雪梦科技

2020/05/11

1.5K0

Let’s Encrypt免费ssl证书申请

bash bash 指令 apt-get nginx SSL 证书

Let’s Encrypt是一个免费并且开源的CA，且已经获得Mozilla、微软等主要浏览器厂商的根授信。它极大低降低DV证书的入门门槛，进而推进全网的HTTPS化。

爱游博客

2019/08/07

4.5K0

在CentOS Linux 7.5上使用Let’s Encrypt以保护Nginx

编程算法专用宿主机数据加密服务 bash bash 指令

Let's Encrypt是由互联网安全研究组（ISRG）开发的免费开放认证机构。 Let's Encrypt颁发的证书现在几乎所有浏览器都信任。

星哥玩云

2022/07/13

1.9K0

在CentOS Linux 7.5上使用Let’s Encrypt以保护Nginx

在 Ubuntu 18.04 上使用 Let’s Encrypt 来保护 Nginx

nginx SSL 证书网络安全 https http

Let's Encrypt 是由 Internet Security Research Group（ISRG）开发的免费开放证书颁发机构。今天几乎所有浏览器都信任 Let's Encrypt 颁发的证书。

星哥玩云

2022/07/28

9410