Let's Encrypt - 免費的 SSL 憑證 | 老洪的 IT 學習系統

Let's Encrypt 算是一個從 2014 年開始的服務，到了今年四月正式 launch。提供免費的 TLS 加密 (HTTPS) 服務

一般說來，申請 SSL 最麻煩的就是認證，就是，如何保證你就是你所宣稱的人? 以及，你的網站是否屬於你的呢?

Let's Encrypt 用了很簡單的步驟，如下圖:

當你提出申請時，Lets' Encrypt 就產一個 Challenges，你需要讓你的網站可以回傳該資訊 (做得到就表示這個網站是你的)

接下來就是交換 key 的動作了

這些動作看似複雜，但其實 Let's Encrypt 已經提供很簡單的方法，https://certbot.eff.org/，來達成喔!

只是目前只支援 Linux，win 的 user 只能手動了，然後，每三個月要 renew 一次喔!!

先連線到 https://certbot.eff.org/

並選擇你的 web server 與 OS
開啟 HTTPS

在此之前，要先將 port 443 打開，並且能夠讓 internet 上 access 的到，否則你就無法完成驗證喔!

下載 certbot

yum install -y epel-release
wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

執行後，逐一回答問題

要快速執行也可以直接這樣下指令
```
./certbot-auto --apache --domain=example.com,www.example.com certonly
```
For nginx:
```
./certbot-auto --nginx --domain=www.example.com,example.com certonly
```
設定完成後，在 /etc/letsencrypt/live 下面應該會有產出相關的檔案

設定 apache.conf

接下來只要補上這幾個設定就可以囉!

SSLEngine on

ErrorLog logs/example.com-error_log
CustomLog logs/example.com-access_log common
SSLOptions +StrictRequire

SSLCertificateFile /etc/letsencrypt/live/example.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem

Renew 憑證

基本上憑證一次是三個月，所以每個月 renew 一次就好了
```
0 0 1 * * /root/certbot-auto renew --quiet
```

https://letsencrypt.org/

Facebook 討論區載入中...

Certbot

註解