网站的免费 https 证书申请和更新

Clloz · 3年前 · 1,272次浏览 · 1个点赞

• Home
• Programming > Backend > Server
• 网站的免费 https 证书申请和更新

Clloz

前言

网站的 HTTPS 现在基本已经是必须的了，不过对于个人网站而言，一年几百块的 SSL 证书显然是没有必要的，我们需要的是比较方便的免费证书。我之前一直是申请的阿里云的免费证书，不过阿里云的免费证书的有效期为一年，并且每次快过期了都要手动进行部署，修改 nginx 配置，比较麻烦。之前在 V2Ray 的配置中用了 certbot 来免费申请 Let's Encrypt 的证书，虽然有效期只要三个月，但是可以配置自动续签，所以还是比较方便的。本文就介绍以下配置过程。

配置

Let's Encrypt 是一家免费，开放，自动化的证书颁发机构，官方文档参考 Let’s Encrypt 快速入门。Let's Encrypt 官方建议使用 certbot 来进行证书的获取。安装 certbot 需要先安装 epel 仓库，命令如下：

$ sudo yum install epel-release

$ sudo yum install certbot

安装完成后我们就可以运行 certbot 命令来获取证书了，certbot 命令的详细参数说明可以参考 Certbot命令行工具使用说明。我们这里为我们的网站进行证书的申请主要是下面的命令：

certbot certonly --webroot -m youremail@email.com -w your-root-path -d your-domain.com

certonly 表示获取证书，但是不安装，我们手动进行配置。
--webroot 表示把身份认证文件放置在服务器的网页根目录下，这样可以让我们在更新证书的时候不用关闭 nginx。
-m 输入自己的邮箱用来接收 Let's Encrypt 的邮件，比如证书要过期了等。
-d 输入自己要申请帧数的域名，如果不输入会在命令执行后要你手动填，也可以选择跳过
-w 网站的根目录

生成好的证书文件路径如下：

/etc/letsencrypt/live/example.com/fullchain.pem
/etc/letsencrypt/live/example.com/privkey.pem

在我们的 nginx 配置文件中配置

ssl_certificate       /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key   /etc/letsencrypt/live/example.com/privkey.pem;

然后重启 nginx 就完成配置了。

你可以使用 certbot certificates 来查看你已经申请的证书信息，你也可以多次运行上面的命令为多个域名创建证书，如果要更新单个证书就重新运行创建证书的命令，如果要一次更新所有域名的证书可以使用 certbot renew。

自动更新证书

证书的自动更新需要安装 crontabs，安装命令如下

yum -y install vixie-cron

yum -y install crontabs

安装完成后 service crond start 启动 crond 服务，然后用 crontab -e 来创建自动更新的命令 30 0 15 * * /usr/bin/certbot renew --post-hook "systemctl restart nginx" >> /var/log/le-renew.log，该命令表示每个月 15 号的 0:30 执行 certbot renew 进行证书的更新，你也可以根据自己的需求写 cron 表达式，--pre-hook 和 --post-hook 则是证书更新前后的两个命令钩子，这里我们不需要像 配置 v2ray 证书 里面那样先停止自己的 nginx，因为那里我们没有一个真的 web 服务供 Let's Encrypt 进行检测，而是用 certbot --standalone 启动了一个独立的 80 端口服务来进行验证，这里我们有自己的 nginx 可以提供验证，所以不需要用 --pre-hook 先关闭 nginx。最好自己先执行以下 certbot renew --dry-run 来测试一下命令是否能正常运行。

还有一点需要注意的是，证书的默认有效期是 90 天，默认情况下只有有效期小于 30 天的时候才可以进行证书的更新，否则更新会失败。

遇到的问题

2021-12-15 收到 Let's Encrypt 的邮件说是证书还有一天就过期了，上服务器上执行 certbot renew 发现报错 Failed to renew certificate with error: __str__ returned non-string，在 Let's Encrypt 社区 里找到类似的问题用 pip 安装 urllib3 和 requests 后由报了一个新的错误 Failed to renew certificate with error: ("bad handshake: Error([('SSL routines', 'ssl3_get_server_certificate', 'certificate verify failed')],)",)，没找到答案，最后只能按 社区 里说的加上 --no-verify-ssl 参数，更新成功了。看情况应该是 Let's Encrypt 的什么证书过期了，暂时就先这么解决了。

尝试了如下这些方法，不过都没有效果：
1. Old Let’s Encrypt Root Certificate Expiration and OpenSSL 1.0.2
2. Centos7 don’t trust certificate issued by lets encrypt
3. Certbot 0.31.0 renew failed, peer’s certificate issuer not recognized
4. Chain of Trust

总结

以上就是配置 Let's Encrypt 证书并设置自动更新的方法了，如果有问题，欢迎留言讨论。