簡單通過letsencrypt配置HTTPS證書

注意: 使用的是Let's encrypt證書,主要是為了能稍微提高一下個人網站的安全性,實際商用建議還是去相關服務提供商上使用付費證書, 這樣更有保障些

參考來源

1. let's encrypt官網指引

準備生成證書環境

廢話:生成letsencrypt的HTTPS證書現在變得比以前簡單多了. 之前配置它的證書除了通過命令生成證書, 應用的時候要手動改tomcat的web.xml配置(好像是這個來著), 然后改完之后還要上阿里云上手動添加域名解析記錄,添加完之后還要驗證. 然后現在重新租了一臺服務器之后發現, 現在簡單到飛起. 害, 不說那么多廢話了.

1. 進入let's encrypt官網,地址在上面參考來源里
2. 主頁的Get-started ---> 使用簡體中文閱讀此文檔
3. 這里集成letsencrypt基于兩種情況
   3.1 一種是通過命令行進行配置,
   3.2 另外一種是通過服務提供商的配置入口去配置證書, 這要看服務提供商支不支持.

因為是個人網站用, 所以符合第一種情況, 使用certbot客戶端進行生成

查看證書生成所需條件

1. 進入certbot官網
   
2. 在主頁選擇網站運行環境, 我這是nginx+centos8, 選擇完成之后會生成基于選擇的環境, 事先需要準備好的條件
   
3. 確認好擁有對應的權限之后 即可開始按照下方指引開始安裝certbot以及生成對應的證書了

安裝snapd

用來安裝certbot

1. 安裝方式參考snapd官網

2. 看下自己服務器系統版本在不在snapd預裝系統列表里面

   就是說比如ubuntu20.04LTS以及Ubuntu18.04LTS以及ubuntu20.10,ubuntu21.04是有預裝的,但是centos以及ubuntu其它版本就沒有預裝這玩意, 需要我們自己安裝

3. centos安裝snapd

   這里一定要注意是centos8 還是centos7, 版本不對安裝之后會有問題

   選擇centos, 進入centos安裝snapd指引頁面
   可以看到對應的有centos8 和 centos7 安裝EPEL 倉庫的指引
   

   因為系統是centos8的, 所以執行

   sudo dnf install epel-release
   sudo dnf upgrade
   

   安裝snapd yum install snapd
   安裝完成之后,需要啟用管理snap通信的systemd unit sudo systemctl enable --now snapd.socket
   建立snap的軟鏈接 sudo ln -s /var/lib/snapd/snap /snap (丟/usr/bin /usr/local/bin里面也行)

   安裝完成, 有問題參考snapd官網, 上面有對應異常的處理方式, 之前配的centos7的EPEL倉庫, 導致安裝一直報localhost找不到對應的snapd

4. 更新snapd版本 sudo snap install core; sudo snap refresh core

生成并使用證書

1. 安裝certbot: sudo snap install --classic certbot
2. 建立certbot軟鏈接 sudo ln -s /snap/bin/certbot /usr/bin/certbot
3. 生成以及安裝證書 sudo certbot --nginx 只需要等它慢慢安裝就好了, 安裝會自動在nginx.conf里面配置相應的證書
   3.1 或者只生成證書 sudo certbot certonly --nginx
4. 測試自動更新證書 sudo certbot renew --dry-run

安裝certbot時會有一個cron任務或者systemd計時器, 這個會在證書過期之前自動更新證書, 配置完成之后就不用再跑一次了