nginx开启https
使用Letsencrypt为域名申请免费证书,不是泛域名的方式,是单域名或者多域名方式,会有多个公钥跟私钥
使用standalone方式获取证书
安装letsencrypt
git clone https://github.com/letsencrypt/letsencrypt
进入目录
cd letsencrypt
执行命令获取证书,注意用standalone方式获取证书,需要关闭服务器的80端口,因为会占用这个端口
--email制定证书过期通知邮件,-d制定要为那个域名申请证书,可以通过-d指定多域名
注意,指定的域名必须可以查到a记录,在域名供应商那边有绑定固定IP
./letsencrypt-auto certonly --standalone --email xxx@qq.com -d www.xxx.com
生成的证书公钥,私钥在/etc/letsencrypt/live里面,以域名为名字的目录
修改nginx的配置文件,启用ssl证书验证
server {
listen 443 ssl;
server_name 填入域名 ;
error_log logs/apple_app_error.log error;
access_log logs/apple_access.log main;
ssl on;
#指定证书公钥
ssl_certificate /etc/letsencrypt/live/app.blockmango.net/fullchain.pem;
#指定证书私钥
ssl_certificate_key /etc/letsencrypt/live/app.blockmango.net/privkey.pem;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# ssl_protocols SSLv3 TLSv1;
# ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_prefer_server_ciphers on;
location /apple-app-site-association {
default_type application/json;
expires 1d;
}
location / {
root html;
index index.html index.htm;
expires 1d;
}
#error_page 404 /404.html;
#redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
重启nginx服务即可
注意通过免费的方式申请的证书,只有三个月有效期,三个月后要为过期的证书更新
还有使用standalone这种方式申请或者更新的,操作前都需要关闭http服务,更新后再打开http服务
还有一种方式比较好用的,是webroot,但是这种方式需要在改服务器还没有申请过证书前,即nginx的配置文件没修改成ssl模式前使用
因为本次对服务器申请证书,是之前已经有过其他域名证书申请了,且是用standalone方式申请的,现在改为webroot的话有点麻烦,所以继续使用standalone方式为新域名申请证书
当然这样的话,就必须维护多个证书