明明博客

明明博客


生命是一个过程,可悲的是不能重来,可喜的是它也不需要重来

SHARE ARTICLE


印象以来,貌似好多年没有这么严重的感冒,上次输液好几年前了. 扁桃体发炎,鼻喉不通气,重度中烧还是高烧也不记得了. 原本想着输液两次就好了,谁知道折腾输了四次… 天冷了,08/23/2016就是 处暑(二十四节气之一)注意夜间温差,提防感冒....

Let’s Encrypt ve Nginx – CentOS 7

MingmingMingming

是根据当前CentOS 7进行,其他的系统我不太清楚。

运行之前先暂停Nginx 服务

systemctl stop nginx

yum install git #呃…运行下吧

git clone https://github.com/letsencrypt/letsencrypt #剩下的我不多说了

cd letsencrypt

./letsencrypt-auto certonly –server https://acme-v01.api.letsencrypt.org/directory –agree-dev-preview

弹出个UI (好像是运行一次再也不出现了)
mail
email
然后让你输入证书的域名
www
比如我的是mingming.info 我就输入 mingming.info www.mingming.info (逗号/空格 都行)然后回车就行了
注意还有一件事情我必须要说一下域名不能使用国内的DNS解析 否则会提示DNS解析失败,建议使用国外的DNS解析。

证书可以在下面的目录到你的钥匙被发现。

/etc/letsencrypt/live/domain.com(你的域名)/
构造
现在我们进行的改变,如在conf.d文件插入Nginx的所述domain.com.conf的例子。

server {
listen 80;
listen 443 ssl ;
root /var/www/eaeraybar.com;#你的网站目录
server_name www.eaeraybar.com;
client_body_timeout 5s;
client_header_timeout 5s;

ssl_certificate /etc/letsencrypt/live/你的域名/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/你的域名/privkey.pem;
ssl_protocols TLSv1.1 TLSv1.2;
ssl_ciphers “EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH”;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_dhparam /etc/ssl/certs/dhparams.pem; #注意下路径
ssl_session_tickets off;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
add_header Strict-Transport-Security “max-age=31536000; includeSubdomains;”;
add_header X-Content-Type-Options “nosniff”;
add_header X-Frame-Options DENY;
add_header X-XSS-Protection “1; mode=block;”;

注意:dhparam.pem 4096

cd /etc/ssl/certs
openssl dhparam -out dhparam.pem 4096

然后告诉 nginx 将其用作 DHE 密钥交换:

ssl_dhparam /etc/ssl/certs/dhparam.pem;
现在,您可以重新启动Nginx的服务。

systemctl restart nginx

续借
在90天结束更新进程,用下面的命令续订 别忘记改成你的域名

./letsencrypt-auto certonly -d domain.com -d www.domain.com –server https://acme-v01.api.letsencrypt.org/directory

生命是一个过程,可悲的是不能重来,可喜的是它也不需要重来

Comments 0
There are currently no comments.