Let's Encrypt - 免費的 SSL 憑證
  • 9,213 views,
  • 2016-08-08,
  • 上傳者: Kuann Hung,
  •  0
Let's Encrypt 算是一個從 2014 年開始的服務,到了今年四月正式 launch。提供免費的 TLS 加密 (HTTPS) 服務
一般說來,申請 SSL 最麻煩的就是認證,就是,如何保證你就是你所宣稱的人? 以及,你的網站是否屬於你的呢?
 
Let's Encrypt 用了很簡單的步驟,如下圖:
9368b478b3b0562bdbdb60327729feef.png
當你提出申請時,Lets' Encrypt 就產一個 Challenges,你需要讓你的網站可以回傳該資訊 (做得到就表示這個網站是你的)
接下來就是交換 key 的動作了
463394480365880a215d42b861e21ad4.png
 
這些動作看似複雜,但其實 Let's Encrypt 已經提供很簡單的方法,https://certbot.eff.org/,來達成喔! 
只是目前只支援 Linux,win 的 user 只能手動了,然後,每三個月要 renew 一次喔!!
 
Certbot
1.
並選擇你的 web server 與 OS
2.
開啟 HTTPS 
在此之前,要先將 port 443 打開,並且能夠讓 internet 上 access 的到,否則你就無法完成驗證喔!
3.
下載 certbot
yum install -y epel-release
wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
4.
執行後,逐一回答問題
要快速執行也可以直接這樣下指令
./certbot-auto --apache --domain=example.com,www.example.com certonly
For nginx:
./certbot-auto --nginx --domain=www.example.com,example.com certonly
設定完成後,在 /etc/letsencrypt/live 下面應該會有產出相關的檔案
5.
設定 apache.conf
接下來只要補上這幾個設定就可以囉!
SSLEngine on

ErrorLog logs/example.com-error_log
CustomLog logs/example.com-access_log common
SSLOptions +StrictRequire

SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem
6.
Renew 憑證
基本上憑證一次是三個月,所以每個月 renew 一次就好了
 
0 0 1 * * /root/certbot-auto renew --quiet
Facebook 討論區載入中...
資料夾 :
發表時間 :
2016-08-08 20:47:00
觀看數 :
9,213
發表人 :
Kuann Hung
部門 :
老洪的 IT 學習系統
QR Code :