现在的位置:首页>空间域名>正文

Let’s Encrypt提供免费三个月SSL证书(可无限延期)

2016年09月03日 ⁄ 共 2662字 评论 1 条

Let’s Encrypt是一个国外一个公共的免费SSL项目,由Linux基金会托管,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,目的就是向网站自动签发和管理免费证书,目前我们通过注册letsencrypt,就可以免费申请三个月SSL证书,安装和使用非常简单,到期后,需要续期一次,目前来看,是可以无限延期的.想试试SSL证书,可以去申请一个.

这里部落需要注明一下的是,Let’s Encrypt是通过访问域名实现对域名所有权的验证,因此需要vps上开放80端口。所以需要区分vps是否已安装nginx或apache等web服务器.

目前来看,https访问是大势所趋,但想短时间内完全替代还是不太现实的,毕竟现在的搜索引擎,对https的支持等也还不是很完善,但我们身边很多的网站,都在架设SSL证书了.部落估计明年什么时候,可能也会搞一个,但估计不会上免费的,Let’s Encrypt可以用来作一下测试.

Let’s Encrypt介绍

Let’s Encrypt提供免费三个月SSL证书

Let’s Encrypt已经得了 IdenTrust 的交叉签名,这意味着其证书现在已经可以被Mozilla、Google、Microsoft和Apple等主流的浏览器所信任,你只需要在Web 服务器证书链中配置交叉签名,浏览器客户端会自动处理好其它的一切.

Let’s Encrypt的官方网站:由此直达.

提供项目的主页:由此直达.

Let’s Encrypt安装使用教程

1.首先我们需要安装git并获取安装脚本:

  1. apt-get install git

2.接下来,我们下载安装脚本.

  1. git clone https://github.com/letsencrypt/letsencrypt
  2. cd letsencrypt

3.直接获取Let’s Encrypt SSL证书

实际上,Let’s Encrypt是通过访问域名实现对域名所有权的验证,因此需要vps上开放80端口.这里需要区分vps是否已安装nginx或apache等web服务器.

a.如果未安装nginx或apache等web服务器,可以作如下处理:

如果vps上没有安装nginx或apache等web服务器,那么Let’s Encrypt脚本会自动开一个SimpleHTTPServer,通过该server运行Let’s Encrypt服务器来验证域名所有权.

执行以下命令获取SSL证书:

  1. ./letsencrypt-auto certonly --standalone --email admin@thing.com -d thing.com

其中admin@thing.com为你的邮箱,thing.com为待签发的域名.

b.已安装nginx或apache等web服务器作如下处理:

如果vps上已安装nginx或apache等web服务器,则需要指定该域名在web服务器中对应的虚拟主机目录.

执行以下命令获取SSL证书:

  1. ./letsencrypt-auto certonly --standalone --email admin@thing.com -d thing.com --webroot-path=/var/www/thing.com

其中admin@thing.com为你的邮箱,thing.com为待签发的域名,/var/www/thing.com为web服务器中定义的虚拟主机目录.

执行上述命令后,会弹出对话框,同意用户协议.如下图:

Let’s Encrypt提供免费三个月SSL证书(可无限延期)

如果运行没有错误,那么相应的证书会生成在/etc/letsencrypt/live/域名文件夹下,路径分别为:

  1. #certificate
  2. /etc/letsencrypt/live/www.mfbuluo.com/fullchain.pem
  3. #privatekey
  4. /etc/letsencrypt/live/www.mfbuluo.com/privkey.pem

上面的域名,对应为您自己的域名.

Let’s Encrypt无限延期

目前Let’s Encrypt免费SSL证书有效期是90天,也就是每三个月你就得续期一次,执行以下代码即可自动替换证书为新的:

  1. ./letsencrypt-auto --renew certonly --email admin@thing.com -d thing.com

同上面的一样,admin@thing.com为你的邮箱,thing.com为待续期的域名.

Let’s Encrypt免费SSL证书安装使用的一些问题收集

1.

Error: The server could not connect to the client for DV

如果你的域名使用的是国内的NS服务商,比如:hichina、dnspod、cloudxns,或者阿里云解析,可能不能正常通过验证,解决方案是将域名的NS服务商换为国外的,例如namecheap、linode、cloudflare、google cloud DNS.

就凭上面这一点,估计很多做中文站的朋友,不会去正式使用.

2.

  1. An unexpected error occurred:
  2. There were too many requests of a given type :: Error creating new registration ::
  3. Too many registrations from this IP
  4. Please see the logfiles in /var/log/letsencrypt for more details.

出现这样的提示,这个不一定是因为IP注册的次数过多,可能是因为您自身服务器IPv6的事,具体解决方法如下:

执行:sysctl -w net.ipv6.conf.all.disable_ipv6=1 来临时禁用IPv6

再生成证书后执行:sysctl -w net.ipv6.conf.all.disable_ipv6=0 再来解除禁用IPv6.

 

 

小结

Let’s Encrypt提供的免费SSL证书,只适合那些做英文站的朋友使用,中文站的话,用来作测试可以,毕竟域名解析是硬伤.不知道这个证书,以后会不会放开对国内解析的限制.

当然,那些还没有使用过https的朋友,有时间的话,用来测试一下,还是不错的.

评论 1 条 评论内容很精采,有内幕,而且绝对有干货

  1. 薅羊毛 2016年09月04日 09:24  @回复  Δ-49楼 回复

    有免费的也不会玩,配置麻烦,调用资源还得都是HTTPS才行

给我留言