Linux下申请免费ssl证书正确姿势

环境说明

• 系统：centos7
• ssl申请软件是：certbot

安装准备

yum install -y epel-release
yum install -y certbot

DNS解析

例子申请blogs.xxx.xyz的ssl证书

• 解析blogs.xxx.xyz
  解析blogs.xxx.xyz A记录

  ping blogs.xxx.xyz 看看是否解析完成

配置nginx

mkdir /data/www/blogs.xxx.xyz/
cat /usr/local/nginx/conf.d/blogs.xxx.xyz.conf
server{
    listen 80;
    server_name blogs.xxx.xyz;
    root /data/www/blogs.xxx.xyz/;
    access_log /data/logs/blogs.xxx.xyz.acc.log;
    error_log /data/logs/blogs.xxx.xyz.err.log;
    index index.html;
}

开始申请ssl证书

• 1.执行一次创建命令(注意这条命令不要执行多次，否则域名会被限制申请)

  # certbot certonly --webroot -w /data/www/blogs.xxx.xyz/  -d tblog.xxx.xyz -m servicexx@gmail.com --agree-tos
  打印
  IMPORTANT NOTES:
  - The following errors were reported by the server:
  Domain: blogs.xxx.xyz
  Type:   connection
  Detail: Fetching
  http://blogs.xxx.xyz/.well-known/acme-challenge/hlYPxrEIUeSBp87pKey0yCm00-L9VDuW6rIDNwRRqbs ##打印出来的文件
  Connection refused

• 2.创建打印出来的文件

  cd /data/www/blogs.xxx.xyz/
  mkdir -p .well-known/acme-challenge/
  touch .well-known/acme-challenge/hlYPxrEIUeSBp87pKey0yCm00-L9VDuW6rIDNwRRqbs

• 3.访问打印出来的文件（一定要访问的到）

  wget http://blogs.xxx.xyz/.well-known/acme-challenge/hlYPxrEIUeSBp87pKey0yCm00-L9VDuW6rIDNwRRqbs

• 4.再执行一次创建命令（注意这条命令不要执行多次，否则域名会被限制申请。）

  # certbot certonly --webroot -w /data/www/blogs.xxx.xyz/  -d tblog.xxx.xyz -m servicexx@gmail.com --agree-tos 
  打印生成的证书文件
  "cert": "/etc/letsencrypt/live/blogs.xxx.xyz/fullchain.pem",
  "key": "/etc/letsencrypt/live/blogs.xxx.xyz/privkey.pem",

续签

# 更新证书
certbot renew --dry-run
# 如果不需要返回的信息，可以用静默方式
certbot renew --quiet

自动续签

# crontab  -e
1 1 21 * * /usr/bin/certbot renew --quiet