[系统运维]Certbot-免费的https证书

参考：https://phpmianshi.com/?id=76

什么是HTTPS？

HTTP：是互联网上应用最为广泛的一种网络协议，是一个客户端和服务器端请求和应答的标准（TCP），用于从WWW服务器传输超文本到本地浏览器的传输协议，它可以使浏览器更加高效，使网络传输减少。

HTTPS：全称：Hyper Text Transfer Protocol over Secure Socket Layer，则是以安全为目标的HTTP通道，简单讲是HTTP的安全版，即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。

HTTPS协议的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。

如何使用HTTPS？

一般情况下，要使用HTTPS协议，需要有一张被信任的 CA （ Certificate Authority ）也就是证书授权中心颁发的 SSL 安全证书，并且将它部署到你的网站服务器上。一旦部署成功后，当用户访问你的网站时，浏览器会在显示的网址前加一把小锁，表明这个网站是安全的，当然同时你也会看到网址前的前缀变成了 https ，不再是 http 了

获取SSL证书

理论上，我们自己也可以手动制作一个 SSL 安全证书，但是我们自己签发的安全证书浏览器信任，所以我们需要被信任的证书授权中心（ CA ）签发的安全证书。而一般的 SSL 安全证书签发服务都需要付费，且价格昂贵，不过为了加快推广 https 的普及， EEF 电子前哨基金会、 Mozilla 基金会和美国密歇根大学成立了一个公益组织叫 ISRG （ Internet Security Research Group ），这个组织从 2015 年开始推出了 Let’s Encrypt 免费证书。这个免费证书不仅免费，而且还相当好用，所以我们就可以利用 Let’s Encrypt 提供的免费证书部署 https 了。

Let’s Encrypt

Let’s Encrypt提供了免费的证书申请服务，同时也提供了官方客户端?Certbot，打开首页，就可以得到官方的安装教程。官方教程给出了四种常用服务器和不同的Linux、Unix的安装使用方案，可以说是十分的贴心了。

Certbot首页

下面我将会介绍一个通用的安装方案：

1.获取certbot-auto

wget??
chmod?a+x?certbot-auto

2.生成证书

生成证书前需要关闭服务器

service?nginx?stop
./certbot-auto?certonly

根据提示，输入相关资料后，如打印类似以下内容，即可在/etc/letsencrypt/archive目录下得到证书文件。

如果不想一步一步走，也可以直接使用以下命令直接生成。注意xxx需要替换为自己的东西。

./certbot-auto?certonly?--standalone?--email?xxx@xxx.com?--agree-tos?-d?xxx.com?-d?www.xxx.com

?

3.配置证书

Nginx中配置SSL证书的配置文件参考如下：

server?{
????listen??443?ssl;
????server_name?xxx.com;
????location?/?{
????????#?....
????}
????ssl_certificate?/etc/letsencrypt/live/xxx.com/fullchain.pem;
????ssl_certificate_key?/etc/letsencrypt/live/xxx.com/privkey.pem;
}
server?{
????listen??80;
????server_name?xxx.com;
?????location?/?{
????????????????#?...
????????}
??????#如果需要把http强制转换为https，需要配置以下内容
??????if?($host?=?xxx.com)?{
??????????return?301?https://$host$request_uri;
??????}?
}

配置完成后，启动Nginx，浏览器中查看效果。

service?nginx?start