记一次nginx使用Let's Encrypt配置HTTPS

Let’s Encrypt是一个免费,自动化,和 公开 的证书颁发机构，并且可以通过脚本实现证书的更新。

本次使用的是阿里云的centos服务器

前提条件

服务器需要有python和git

检查python 

python --version　

检查git

git --version

生成证书

1、从git上clone encrypt

git clone https://github.com/certbot/certbot

2、进入到certbot的目录生成证书

./letsencrypt-auto certonly --standalone --email xiaoweiv@yeah.net -d xx.vip -d www.xx.vip

Let's Encrypt可以支持多域名的配置

执行成功的情况下，会在/etc/letsencrypt/live/xx.vip目录下生成四个文件　cert.pem  chain.pem  fullchain.pem  privkey.pem

cert.pem - Apache服务器端证书
chain.pem - Apache根证书和中继证书
fullchain.pem - Nginx所需要ssl_certificate文件
privkey.pem - 安全证书KEY文件

配置nginx

1、进入nginx配置文件目录

/usr/local/nginx/conf

2、修改nginx.conf文件

 1 # HTTPS server
 2     #
 3     server {
 4         listen       443;
 5         server_name  xx.vip www.xx.vip;
 6         ssl on;
 7 
 8         ssl_certificate      "/etc/letsencrypt/live/xx.vip/fullchain.pem";
 9         ssl_certificate_key  "/etc/letsencrypt/live/xx.vip/privkey.pem";
10 
11         ssl_session_cache    shared:SSL:1m;
12         ssl_session_timeout  5m;
13 
14         ssl_ciphers  HIGH:!aNULL:!MD5;
15         ssl_prefer_server_ciphers  on;
16 
17         location / {
18             root   html/love;
19             index  index.html index.htm;
20         }
21                 location /zuimeidenvren {
22             root   html;
23             index  index.html index.htm;
24         }
25 
26     }

至此，我们就完成了HTTPS的配置工作。重新加载nginx的配置使其生效

/usr/local/nginx/sbin/nginx -s reload

设置自动更新证书

1、编写更新的shell脚本

 1 #!/bin/sh
 2 
 3 #先停止nginx
 4 . /etc/init.d/functions
 5 
 6 NGINX_DIR="/usr/local/nginx"
 7 NGINX="${NGINX_DIR}/sbin/nginx"
 8 NGINX_CONF="${NGINX_DIR}/conf/nginx.conf"
 9 PROG=$(basename $NGINX)
10 
11 if [ ! -x ${NGINX} ]; then
12     echo -n $"${NGINX} does not exists."; warning; echo
13     exit 5
14 fi
15 echo $PROG
16 echo "stop nginx"
17 pkill $PROG
18 echo "ngix stop success and update ssl "
19 #更新证书
20 /data/git/certbot/certbot-auto renew --force-renew
21 #启动nginx
22 echo "start nginx"
23 $NGINX -c $NGINX_CONF
24 echo "nginx status"
25 pids=`ps -ef|grep nginx`
26 
27 if [ "$pids" = "" ]
28    then
29        echo "no nginx pid!"
30 else
31   echo "nginx Id list :$pids"
32 fi
33 exit 0;

2、修改crontab进行定时更新

0 0 10 * * root /etc/letsencrypt/live/xx.vip/updatessl.sh

3、从证书的信息中看，let`s Encrypt的有效期为90天

遇到的问题

1、生成证书时报 Problem binding to port 80: Could not bind to IPv4 or IPv6.. Skipping

　　这是因为原来nginx启动的情况下进行证书的生成时，80端口被使用了。停止nginx的服务

2、配置了nginx后，有错误 unknown directive ssl， 提示

　　这是在我第一次安装编译nginx时没有配置SSL模块导致的

　　（1）进入到nginx的解压目录  cd /data/software/nginx-1.15.0

　　（2）执行命令 ./configure --with-http_ssl_module  //重新添加这个ssl模块

　　（3）执行make命令（不要执行make install，因为make是用来编译的，而make install是安装，不然你整个nginx会重新覆盖的）。

　　（4）备份之前的nginx　

cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak

　　　　拷贝最新的（如果失败，可以使用 cp -rpf）　　

 cp objs/nginx /usr/local/nginx/sbin/nginx

　　（5）在nginx的安装目录下 /usr/local/nginx/sbin下执行命令 ./nginx -V

参考

https://www.jianshu.com/p/eaad77ed1c1b