[Linux] 安裝 Let’s Encrypt 所發行的 SSL 憑證,將網址加密變成 https

Let’s Encrypt 官網的兩個較重要連結:

Getting Started

How Let’s Encrypt Works

 

一、進入到 Certbot 網站 按照指引安裝憑證並設定(以選擇 Apache、CentOS/RHEL 7 為例):

 

一、安裝 epel-release、python-certbot-apache:

$ sudo yum install epel-release
$ sudo yum install python-certbot-apache

 

二、作業系統還要安裝mod_ssl (若是安裝 Apache 的話),因為 Apache 若要支援 https ,就要需 mod_ssl 模組,同時也安裝openssl

$ yum install mod_ssl openssl

然後可再自己的本機端輸入以下指令,看 443 port 是否有通:(出現以下表示有通)

$ telnet 111.111.111.111(server的ip) 443

Trying 128.199.216.14...
Connected to 128.199.216.14.
Escape character is '^]'.

 

三、建立 virtualhost-443.conf

$ touch /etc/httpd/conf.d/virtualhost-443.conf

該檔的內容為(假設網址為 xxx.com):

<VirtualHost *:443>
  ServerName xxx.com
  DocumentRoot /var/www/html/xxx
  SSLEngine on
  SSLCertificateFile    /etc/letsencrypt/live/xxx.com/cert.pem
  SSLCertificateKeyFile /etc/letsencrypt/live/xxx.com/privkey.pem
  SSLCertificateChainFile /etc/letsencrypt/live/xxx.com/fullchain.pem
  <Directory "/var/www/html/xxx">
    Options FollowSymLinks
    AllowOverride All
    Order allow,deny
    Allow from all
  </Directory>
</VirtualHost>

其中 SSLCertificateFile、SSLCertificateKeyFile、SSLCertificateChainFile 這三個所指定的檔案會在 以下指令之後產生:

$ certbot –apache

 

四、將原來的 80 port 轉到 443 port

產生好憑證之後,因為目前一般會設定 80 和 443 兩個 port ,所以要將80轉到443,
也就是若一般使用者輸入 http://xxx.com 會轉址到 https://xxx.com

$ vi /etc/httpd/conf.d/virtualhost.conf

<VirtualHost *:80>
  ServerName xxx.carlos-studio.com
  DocumentRoot /var/www/html/xxx
  Redirect permanent / https://xxx.com/
  <Directory "/var/www/html/xxx">
    Options FollowSymLinks
    AllowOverride All
    Order allow,deny
    Allow from all
  </Directory>
</VirtualHost>

以上重啟 apache 後即完成。

 

五、憑證的 Automating renewal

因為 Let’s Encrypt 憑證預設只有 3 個月,所以需要設定自動 renew,輸入以下指令測試是否可以正確執行(此指令並不會真的renew,只是測試):

$ certbot renew –dry-run     (註記:dry 前面是兩個橫線)

以下這個指令才會真的renew,若確定執行成功,就可以設定在 cronjob 裡了,每天跑以下指令(官方建議每天跑兩次):

$ certbot renew –quiet         (註記:quiet 前面是兩個橫線,若有問題,可以 –quiet 改成用 –force-renew,force 前面是兩個橫線 )

 

六、如果要刪除某個憑證,不需要再用 https 了

先找到某個domain的相關設定檔及資料夾,例如 “sabinahuang.carlos-studio.com”

$ find /etc/letsencrypt/ -name “*sabinahuang.carlos-studio*”

就會找出以下:

/etc/letsencrypt/renewal/sabinahuang.carlos-studio.com.conf
/etc/letsencrypt/live/sabinahuang.carlos-studio.com
/etc/letsencrypt/archive/sabinahuang.carlos-studio.com

全數刪除即可。

二、進入到 Certbot 網站 按照指引安裝憑證並設定(以選擇 Nginx、CentOS/RHEL 7 為例):

$ sudo yum install epel-release
$ sudo yum install certbot

再執行以下指令,用來取得憑證:會詢問要使用哪一種方式安裝,請選擇第一種使用 webroot 來自動安裝並取得憑證。

$ certbot certonly

安裝好後,就會在網站根目錄中,看到 .well-known 資料夾了,相關憑證就會存於此處。
另外若是example.com和www.example.com都要有https時,在要求輸入domain時,兩個都要輸入,以逗號做分隔。

再建立以下檔案(若不存在該檔,則會直接建立):

$ sudo vi /etc/nginx/default.d/le-well-known.conf

// 內容是以下:
location ~ /.well-known {
  allow all;
}

可再執行以下語法,來檢查 nginx 的相關語法是否有錯誤:

$ sudo nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

 

您可在此處留言

搶先留言!

avatar
  Subscribe  
Notify of