当前位置：首页 > news >正文

Let‘s Encrypt

news 2026/2/9 11:46:52

创建文件夹

mkdir /usr/local/develop/

安装Certbot客户端

yum install certbot

首先确保example.com和www.example.com这两个域名通过DNS解析绑定了你的web 服务器的公网 IP 就是说先要完成域名解析到服务器
下面命令会验证 /var/www/example 他会将一些命令文件存在该目录下 -d example.com -d www.example.com
意思是让Certbot 将为所有列出的域名生成一个单一的证书。这种证书通常被称为多域名（SAN, Subject Alternative Name）证书。

certbot certonly --webroot -w /var/www/example -d example.com -d www.example.com

那么

certbot certonly --webroot -w /var/www/example -d example.com -d www.example.com -d app.example.com 意思就是 example.com www.example.com app.example.com 共享证书

先创建该文件夹

一次创建多个文件夹 -p

mkdir -p /var/www/xxxxxx

certbot会往里写入文件并通过http请求访问来验证你的服务器IP是否和域名绑定

1小时有5次机会发送请求过多有限制

事实上看到/var/www/xxxx下没有文件应该是检测了下域名和IP是否已经通过DNS绑定或者说是我们打开/var/www/xxx文件的写入权限反正测试通过且拿到SSL证书了

注意80端口打开

server {
listen 80;
server_name xxxxx.com www.xxxxx.com;

location / {
root /var/www/xxxx; # 您的 webroot 路径
}

# 其他 location / 配置，用于正常的网站内容
}

把Nginx配置启动

certbot certonly --webroot -w /var/www/example -d example.com -d www.example.com

他会要你输入邮箱地址(你的邮箱) 同意服务条款(Y) 选择是否加入邮件列表(Y)

创建成功 ssl证书就保存在这两文件下

配置示例

   server {server_name diamondfsd.com www.diamondfsd.com;listen 443;ssl on;ssl_certificate /etc/letsencrypt/live/diamondfsd.com/fullchain.pem;ssl_certificate_key /etc/letsencrypt/live/diamondfsd.com/privkey.pem;location / {proxy_pass http://127.0.0.1:3999;proxy_http_version 1.1;proxy_set_header X_FORWARDED_PROTO https;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header Host $host;}}server {server_name api.diamondfsd.com;listen 443;ssl on;ssl_certificate /etc/letsencrypt/live/api.diamondfsd.com/fullchain.pem;ssl_certificate_key /etc/letsencrypt/live/api.diamondfsd.com/privkey.pem;location / {proxy_pass http://127.0.0.1:4999;proxy_http_version 1.1;proxy_set_header X_FORWARDED_PROTO https;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header Host $host;}}

自动检查更新系统内证书

certbot renew --dry-run

这样就方便多了

下面没有测试

关于自动刷新证书

自动更新 SSL 证书

配置完这些过后，我们的工作还没有完成。 Let's Encrypt 提供的证书只有90天的有效期，我们必须在证书到期之前，重新获取这些证书，certbot 给我们提供了一个很方便的命令，那就是 certbot renew。
通过这个命令，他会自动检查系统内的证书，并且自动更新这些证书。
我们可以运行这个命令测试一下

certbot renew --dry-run

我在运行的时候出现了这个错误

Attempting to renew cert from /etc/letsencrypt/renewal/api.diamondfsd.com.conf produced an unexpected error: At least one of the required ports is already taken.. Skipping.

这是因为我的http://api.diamondfsd.com生成证书的时候使用的是 --standalone 模式，验证域名的时候，需要启用443端口，这个错误的意思就是要启用的端口已经被占用了。这时候我必须把nginx先关掉，才可以成功。果然，我先运行 service nginx stop 运行这个命令，就没有报错了，所有的证书都刷新成功。

证书是90天才过期，我们只需要在过期之前执行更新操作就可以了。这件事情就可以直接交给定时任务来完成。linux 系统上有 cron 可以来搞定这件事情。
我新建了一个文件 certbot-auto-renew-cron，这个是一个 cron 计划，这段内容的意思就是每隔两个月的凌晨 2:15 执行更新操作。

15 2 * */2 * certbot renew --pre-hook "service nginx stop" --post-hook "service nginx start"

--pre-hook 这个参数表示执行更新操作之前要做的事情，因为我有 --standalone 模式的证书，所以需要停止 nginx 服务，解除端口占用。
--post-hook 这个参数表示执行更新操作完成后要做的事情，这里就恢复 nginx 服务的启用

最后我们用 crontab 来启动这个定时任务

crontab certbot-auto-renew-cron

至此，整个网站升级到HTTPS就完成了。总结一下我们需要做什么

获取Let's Encrypt 免费证书
配置Nginx开启HTTPS
定时刷新证书

Let‘s Encrypt

自动更新 SSL 证书

相关文章：

Let‘s Encrypt

C语言 | Leetcode C语言题解之第24题两两交换链表中的节点

【LeetCode热题100】【回溯】电话号码的字母组合

解析mysql的DDL语句生成高斯内表及表字段主键配置

ANSYS Electromagnetics Suite 2023 R2 三维电磁（EM）仿真软件下载

pbootcms百度推广链接打不开显示404错误页面

springboot 整合 swagger2

redis-缓存穿透与雪崩

K8S临时存储-本地存储-PV和PVC的使用-动态存储（StorageClass）

jeecg-boot安装

Unity面经（自整）——移动开发与Shader

Nginx实现反向代理、负载均衡、动静分离

【Linux】网络基础（一）

前端小白学习Vue框架（二）

飞书api增加权限

CSS3 平面 2D 变换+CSS3 过渡

【Jenkins】Jenkins自动化工具介绍

课时93：流程控制_函数进阶_综合练习

oracle创建整个数据库的只读账户

文件名乱码危机：数据恢复全攻略

synchronized 学习

Unity3D中Gfx.WaitForPresent优化方案

循环冗余码校验CRC码算法步骤+详细实例计算

【JVM】- 内存结构

基于Docker Compose部署Java微服务项目

AspectJ 在 Android 中的完整使用指南

AI语音助手的Python实现

深度学习之模型压缩三驾马车：模型剪枝、模型量化、知识蒸馏

上位机开发过程中的设计模式体会(1)：工厂方法模式、单例模式和生成器模式

《Offer来了：Java面试核心知识点精讲》大纲