Let's Encrypt 算是一個從 2014 年開始的服務,到了今年四月正式 launch。提供免費的 TLS 加密 (HTTPS) 服務
一般說來,申請 SSL 最麻煩的就是認證,就是,如何保證你就是你所宣稱的人? 以及,你的網站是否屬於你的呢?
 
Let's Encrypt 用了很簡單的步驟,如下圖:
9368b478b3b0562bdbdb60327729feef.png
當你提出申請時,Lets' Encrypt 就產一個 Challenges,你需要讓你的網站可以回傳該資訊 (做得到就表示這個網站是你的)
接下來就是交換 key 的動作了
463394480365880a215d42b861e21ad4.png
 
這些動作看似複雜,但其實 Let's Encrypt 已經提供很簡單的方法,https://certbot.eff.org/,來達成喔! 
只是目前只支援 Linux,win 的 user 只能手動了,然後,每三個月要 renew 一次喔!!
 
  • 並選擇你的 web server 與 OS
  • 開啟 HTTPS 
    在此之前,要先將 port 443 打開,並且能夠讓 internet 上 access 的到,否則你就無法完成驗證喔!
  • 下載 certbot
    yum install -y epel-release
    wget https://dl.eff.org/certbot-auto
    chmod a+x certbot-auto
    
  • 執行後,逐一回答問題
    要快速執行也可以直接這樣下指令
    ./certbot-auto --apache --domain=example.com,www.example.com certonly
    
    For nginx:
    ./certbot-auto --nginx --domain=www.example.com,example.com certonly
    設定完成後,在 /etc/letsencrypt/live 下面應該會有產出相關的檔案
  • 設定 apache.conf
    接下來只要補上這幾個設定就可以囉!
    SSLEngine on
    
    ErrorLog logs/example.com-error_log
    CustomLog logs/example.com-access_log common
    SSLOptions +StrictRequire
    
    SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
    SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem
    
  • Renew 憑證
    基本上憑證一次是三個月,所以每個月 renew 一次就好了
     
    0 0 1 * * /root/certbot-auto renew --quiet
Facebook 討論區載入中...