Letsencrypt 笔记
文章目录
安装 certbot
-
在 alpine linux 中安装 certbot
1
apk add --no-cache certbot openssl
-
注册
1
certbot register --register-unsafely-without-email --agree-tos
普通域名证书
-
申请 ssl 证书,有效期 90 天
1 2 3 4 5
certbot certonly -n -d x.x.com --standalone # 证书文件生成到 /etc/letsencrypt/live/x.x.com/ 下 # 参数 -d 可以使用多次来指定多个域名,也可以在一个 -d 参数中使用逗号分隔多个域名 # 参数 --cert-name 可以指定证书文件的父级目录名字(替换默认的 x.x.com)
-
续签 ssl 证书
1
cerbot renew --force-renewal
-
生成 2048 位的交换密钥文件
1
openssl dhparam -out /etc/letsencrypt/dhparam.pem 2048
通配域名证书
-
申请 ssl 证书,有效期 90 天
1 2 3 4 5 6 7
certbot certonly --manual -d '*.x.com' \ --preferred-challenges dns \ --server https://acme-v02.api.letsencrypt.org/directory # 按照提示,在对应的域名运营商平台新增或修改 _acme-challenge 记录的 txt 值 # 证书文件生成到 /etc/letsencrypt/live/x.com/ 下 # 参数 --cert-name 可以指定证书文件的父级目录名字(替换默认的 x.com)
-
续签 ssl 证书,使用 certonly 子命令指定域名单独更新
1 2 3 4 5
certbot certonly --force-renewal --manual -d '*.x.com' \ --preferred-challenges dns \ --server https://acme-v02.api.letsencrypt.org/directory # 按照提示,在对应的域名运营商平台修改 _acme-challenge 记录的 txt 值
-
生成 2048 位的交换密钥文件
1
openssl dhparam -out /etc/letsencrypt/dhparam.pem 2048
使用证书
- nginx 配置 ssl
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
server { listen 443 ssl; server_name x.x.x; ssl_certificate /etc/letsencrypt/live/x.x.x/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/x.x.x/privkey.pem; ssl_session_cache shared:le_nginx_SSL:10m; ssl_session_timeout 1440m; ssl_session_tickets off; ssl_prefer_server_ciphers off; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384"; ssl_dhparam /etc/letsencrypt/dhparam.pem; location / { return 404; } }
文章作者 Colben
上次更新 2021-11-06