如何在Nginx服务器上轻松配置CertBot以实现SSL证书自动化管理

前言

自己做了一个iOS App&＃xff0c;需要访问自己的网站获取数据&＃xff0c;但是系统默认只能直接访问https的网站。不想让应用改用http的服务。因此&＃xff0c;研究如何启用https&＃xff0c;本文即是介绍如何在CentOS上配合Nginx使用CertBot。

环境

CentOS&＃xff08;CentOS Linux release 7.2.1511&＃xff09;
Nginx&＃xff08;nginx version: nginx/1.6.3&＃xff09;
ExpressJS应用

安装CertBot

命令行&＃xff0c;键入&＃xff1a;

sudo yum install epel-release sudo yum install certbot

配置Nginx

这里我不想使用CertBot的standalone模式&＃xff0c;这个模式虽然可以配置好服务器&＃xff0c;但是以后Renew的时候&＃xff0c;需要让服务停止一下&＃xff0c;再启动。因此抛弃这个模式&＃xff0c;我们使用Webroot配置模式。

因为&＃xff0c;CertBot在验证服务器域名的时候&＃xff0c;会生成一个随机文件&＃xff0c;然后CertBot的服务器会通过HTTP访问你的这个文件&＃xff0c;因此要确保你的Nginx配置好&＃xff0c;以便可以访问到这个文件。

修改你的服务器配置&＃xff0c;在server模块添加&＃xff1a;

location ^~ /.well-known/acme-challenge/ {default_type "text/plain";root /usr/share/nginx/html; }location &＃61; /.well-known/acme-challenge/ {return 404; }

可以看到&＃xff0c;上面的root&＃xff0c;我们让他指向了/usr/share/nginx/html&＃xff0c;因为我的应用是通过NodeJS的ExpressJS写的&＃xff0c;如果修改源代码的话&＃xff0c;比较麻烦。因此我就让检验的链接指向了nginx默认的文件夹下。

接着重新加载Nginx配置&＃xff1a;

sudo service nginx reload

然后在命令行输入&＃xff1a;

sudo certbot certonly --webroot -w /usr/share/nginx/html/ -d your.domain.com

上面记得替换your.domain.com为你自己的域名。

如果提示&＃xff1a;

IMPORTANT NOTES:- Congratulations! Your certificate and chain have been saved at/etc/letsencrypt/live/your.domain.com/fullchain.pem. Your certwill expire on 20XX-09-23. To obtain a new or tweaked version ofthis certificate in the future, simply run certbot again. Tonon-interactively renew *all* of your certificates, run "certbotrenew"- If you like Certbot, please consider supporting our work by:Donating to ISRG / Let&＃39;s Encrypt: https://letsencrypt.org/donateDonating to EFF: https://eff.org/donate-le

证书生成成功&＃xff01;

启用443端口

同样&＃xff0c;修改Nginx的虚拟主机配置文件&＃xff0c;新建一个443端口的server配置&＃xff1a;

server {listen 443 ssl;listen [::]:443 ssl ipv6only&＃61;on;ssl_certificate /etc/letsencrypt/live/your.domain.com/fullchain.pem;ssl_certificate_key /etc/letsencrypt/live/your.domain.com/privkey.pem;ssl_trusted_certificate /etc/letsencrypt/live/your.domain.com/chain.pem;// ... other settings ... }

上面记得替换your.domain.com为你自己的域名。

接着重新加载Nginx配置&＃xff1a;

sudo service nginx reload

现在通过浏览器访问你的网站&＃xff1a;https://your.domain.com试试&＃xff0c;如果看到浏览器的绿色标志&＃xff0c;恭喜你设置成功&＃xff01;

不过由于这个证书的时效只有90天&＃xff0c;我们需要设置自动更新的功能&＃xff0c;帮我们自动更新证书的时效。

自动更新证书

先在命令行模拟证书更新&＃xff1a;

sudo certbot renew --dry-run

模拟更新成功的效果如下&＃xff1a;

------------------------------------------------------------------------------- Processing /etc/letsencrypt/renewal/your.domain.com.conf ------------------------------------------------------------------------------- ** DRY RUN: simulating &＃39;certbot renew&＃39; close to cert expiry ** (The test certificates below have not been saved.)Congratulations, all renewals succeeded. The following certs have been renewed:/etc/letsencrypt/live/your.domain.com/fullchain.pem (success) ** DRY RUN: simulating &＃39;certbot renew&＃39; close to cert expiry ** (The test certificates above have not been saved.)

既然模拟成功&＃xff0c;我们就使用crontab -e的命令来启用自动任务&＃xff0c;命令行&＃xff1a;

sudo crontab -e

添加配置&＃xff1a;

30 2 * * 1 /usr/bin/certbot renew >> /var/log/le-renew.log

上面的执行时间为&＃xff1a;每周一半夜2点30分执行renew任务。

你可以在命令行执行/usr/bin/certbot renew >> /var/log/le-renew.log看看是否执行正常&＃xff0c;如果一切OK&＃xff0c;那么我们的配置到此结束&＃xff01;