ssl

网站的Let’s encrypt证书快到期了，看了官方的续期方法比较繁琐，于是在网上找了找简单方便做法，结果找到了墓地小企鹅写的一个脚本(shell script)，使用这个脚本可以方便的生成以及更新Let’s encrypt 证书。 脚本地址 https://github.com/xdtianyu/scripts/tree/master/lets-encrypt 下载脚本 wget https://raw.githubusercontent.com/xdtianyu/scripts/master/lets-encrypt/letsencrypt.conf wget https://raw.githubusercontent.com/xdtianyu/scripts/master/lets-encrypt/letsencrypt.sh 配置 root@rnse:~/lesh# cat letsencrypt.conf # only modify the values, key files will be generated automaticly. ACCOUNT_KEY="letsencrypt-account.key" DOMAIN_KEY="alair.key" DOMAIN_DIR="/data/wwwroot/alair.cn/compiled" DOMAINS="DNS:alair.cn,DNS:www.alair.cn" #ECC=TRUE #LIGHTTPD=TRUE 按照需要自定义DOMAIN_KEY、DOMAIN_DIR、DOMAINS三部分。 生成证书 root@rnse:~/lesh#chmod +x letsencrypt.sh root@rnse:~/lesh# ./letsencrypt.sh letsencrypt.conf Generate account key... Generating RSA private key, 4096 bit long modulus ..............................++ ....++ e is 65537 (0x10001) Generate domain key... Generating RSA private key, 2048 bit long modulus .

在此介绍如何使用Let’s Encrypt的免费SSL证书，需要在有管理权限的VPS上操作，然后参考以下方法自签域名证书。 git clone https://github.com/letsencrypt/letsencrypt.git cd letsencrypt mkdir -p /home/webroot/.well-known/acme-challenge #/home/webroot为网站目录 ./letsencrypt-auto certonly --email me@alair.cn -d alair.cn,www.alair.cn --webroot -w /home/webroot --agree-tos #注意email、域名、和网站目录 签发成功后，会提示如/etc/letsencrypt/live/www.alair.cn/fullchain.pem;的证书路径信息。 IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/www.alair.cn/fullchain.pem. Your cert will expire on 2016-03-14. To obtain a new version of the certificate in the future, simply run Let's Encrypt again. - If like Let's Encrypt, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.

注册StartSSL 打开https://www.startssl.com/，点击Sign-up开始注册 参考上图填写注册信息，然后Continue，会有如下提示，系统会发送验证码到你的注册邮箱 检查注册邮箱，将收到的验证码填写提交，然后会出现如下提示，等待审核。 审核通过后，会收到如下提示邮件，点击其中连接，然后输入邮箱中的验证码完成注册 安装证书 接下来创建私匙 安装证书 安装成功后会有如下提示 验证域名 接下来验证域名，点击Validations Wizard 填写域名 选择验证邮件地址 按照提示输入邮箱接收到的验证码完成验证。 创建证书 选择Certificates Wizard，证书目标选择Web Server SSL/TLS Certificate 接下来新建私匙 点击Skip跳过系统建立步骤，我们自己在VPS上建立CSR文件，参考下图通过openssl命令建立CSR文件 注意，为了便于后期安装配置方便，建议密码置空 完成后，cat出建立好的ciuxsss.csr内容，粘贴提交 接下来添加域名 接下来将文本框中的内容保存为一个**.crt**文件 配置Nginx 贴出我的配置文件，大家参考一下 server { listen 80; location /{ return 301 https://$host$request_uri; } } server { listen 443; #listen 80; #listen [::]:80; server_name ciux.org; index index.html index.htm index.php default.html default.htm default.php; root /home/ciux/compiled; ssl on; ssl_certificate /home/bk/ssl/ciuxsss.crt; ssl_certificate_key /home/bk/ssl/ciuxsss.key; ssl_session_timeout 5m; ssl_protocols SSLv2 SSLv3 TLSv1; ssl_ciphers ALL:!

首先澄清此文中的免费不是真的免费，而是新注册或转移域名到Gandi，都可以获得标准版SSL证书一年的免费使用。 符合以上条件的话，可以进行下面操作了！ 在Gandi上购买SSL证书，选择标准版，在结算的时候系统会自动判断是否免单，正常情况下会0元结单，完成后接着配置SSL证书。 首先提交CSR，这里需要自己生产CSR。 在此以3c.lc域名为例，在Ubuntu中操作。 openssl req -nodes -newkey rsa:2048 -sha1 -keyout 3clc.key -out 3clc.csr 然后根据提示填写以下内容： Country Name (2 letter code) [AU]: #国家代码，中国为CN State or Province Name (full name) [Some-State]: #省份 Locality Name (eg, city) []: #城市 Organization Name (eg, company) [Internet Widgits Pty Ltd]: #组织名 Organizational Unit Name (eg, section) []: #部门名 Common Name (e.g. server FQDN or YOUR name) []:3c.lc #注意，这里需要填写你的域名。 Email Address []:2b@3c.lc #邮箱 Please enter the following ‘extra’ attributes