為nginx反向代理配置Let's Encrypt

nginx-Let's Encrypt

在Ubuntu系統(tǒng)上為nginx反向代理站點配置Let's Encrypt陨溅,實現(xiàn)SSL即https訪問:

安裝Let's Encrypt客戶端

下載Let's Encrypt客戶端certbot-auto/usr/local/sbin目錄:

$ cd /usr/local/sbin
$ sudo wget https://dl.eff.org/certbot-auto

使該腳本可執(zhí)行:

$ sudo chmod a+x /usr/local/sbin/certbot-auto

這樣一來遇骑,certbot-auto應(yīng)該已經(jīng)可以使用了艘绍。

獲取Let's Encrypt證書

修改nginx配置文件中server區(qū)塊,使子目錄.well-known指向本地:

server {
    listen 80;
    server_name sub.domain.com www.sub.domain.com;
    […]
    location /.well-known {
            alias /var/www/sub.domain.com/.well-known;
    }

    location / {
        # proxy commands go here
        […]
    }
}

Let's Encrypt服務(wù)器為嘗試訪問http://sub.domain.com/.well-known來驗證服務(wù)器病毡。
然后就可以使用certbot-auto客戶端來獲取證書了先匪,獲取證書時需要輸入你的Email并接受用戶條款:

certbot certonly --webroot -w /var/www/sub.domain.com/ -d sub.domain.com -d www.sub.domain.com

Enter an email address

如果成功獲取證書捎拯,屏幕上會顯示證書存放位置和過期時間。你的密鑰和證書存放在/etc/letsencrypt/live/sub.domain.com/目錄毯欣。

配置nginx啟用證書

在配置文件上新建一個server語塊:

server {
    listen 443 ssl;

    # if you wish, you can use the below line for listen instead
    # which enables HTTP/2
    # requires nginx version >= 1.9.5
    # listen 443 ssl http2;

    server_name sub.domain.com www.sub.domain.com;

    ssl_certificate /etc/letsencrypt/live/sub.domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/sub.domain.com/privkey.pem;

    # Turn on OCSP stapling as recommended at 
    # https://community.letsencrypt.org/t/integration-guide/13123 
    # requires nginx version >= 1.3.7
    ssl_stapling on;
    ssl_stapling_verify on;

    # Uncomment this line only after testing in browsers,
    # as it commits you to continuing to serve your site over HTTPS
    # in future
    # add_header Strict-Transport-Security "max-age=31536000";

    access_log /var/log/nginx/sub.log combined;

    # maintain the .well-known directory alias for renewals
    location /.well-known {
        alias /var/www/sub.domain.com/.well-known;
    }

    location / {
        # proxy commands go here as in your port 80 configuration
        […]
    }
}

重新載入nginx:

service nginx reload

現(xiàn)在馒过,在瀏覽器中訪問https://sub.domain.comhttps://www.sub.domain.com,測試一下HTTPS是否正常酗钞、瀏覽器有沒有報證書錯誤腹忽。

HTTP重定向至HTTPS

把nginx配置文件中80端口的server語塊改為如下:

server {
    listen 80;
    server_name sub.domain.com www.sub.domain.com;
    rewrite     ^   https://$host$request_uri? permanent;
}

在443端口的配置中来累,反注釋下面語句,使其啟用HSTS(HTTP嚴格傳輸安全):

add_header Strict-Transport-Security "max-age=31536000";

重新載入nginx即可窘奏。

自動更新證書

你可以使用以下語句來更新所有超過60天的證書:

certbot-auto renew --renew-hook "service nginx reload"

也可以把更新命令寫入/etc/crontab嘹锁,實現(xiàn)自動更新:

# at 4:47am/pm, renew all Let's Encrypt certificates over 60 days old
47 4,16   * * *   root   certbot-auto renew --quiet --renew-hook "service nginx reload"

測試更新操作:

certbot-auto --dry-run renew

強制提前更新證書:

certbot-auto renew --force-renew --renew-hook "service nginx reload"

你可以無數(shù)次測試更新操作,但是實際的更新證書有頻率限制着裹。

參考資料

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末领猾,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子骇扇,更是在濱河造成了極大的恐慌摔竿,老刑警劉巖,帶你破解...
    沈念sama閱讀 217,406評論 6 503
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件少孝,死亡現(xiàn)場離奇詭異继低,居然都是意外死亡,警方通過查閱死者的電腦和手機稍走,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,732評論 3 393
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門袁翁,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人婿脸,你說我怎么就攤上這事粱胜。” “怎么了狐树?”我有些...
    開封第一講書人閱讀 163,711評論 0 353
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵年柠,是天一觀的道長。 經(jīng)常有香客問我褪迟,道長,這世上最難降的妖魔是什么答憔? 我笑而不...
    開封第一講書人閱讀 58,380評論 1 293
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任味赃,我火速辦了婚禮,結(jié)果婚禮上虐拓,老公的妹妹穿的比我還像新娘心俗。我一直安慰自己,他們只是感情好蓉驹,可當我...
    茶點故事閱讀 67,432評論 6 392
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布城榛。 她就那樣靜靜地躺著,像睡著了一般态兴。 火紅的嫁衣襯著肌膚如雪狠持。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 51,301評論 1 301
  • 城市分裂傳說
    那天瞻润,我揣著相機與錄音喘垂,去河邊找鬼甜刻。 笑死,一個胖子當著我的面吹牛正勒,可吹牛的內(nèi)容都是我干的得院。 我是一名探鬼主播,決...
    沈念sama閱讀 40,145評論 3 418
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼章贞,長吁一口氣:“原來是場噩夢啊……” “哼祥绞!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 39,008評論 0 276
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤拐纱,失蹤者是張志新(化名)和其女友劉穎叁扫,沒想到半個月后,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體丧荐,經(jīng)...
    沈念sama閱讀 45,443評論 1 314
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 37,649評論 3 334
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年喧枷,在試婚紗的時候發(fā)現(xiàn)自己被綠了虹统。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 39,795評論 1 347
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡隧甚,死狀恐怖车荔,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情戚扳,我是刑警寧澤忧便,帶...
    沈念sama閱讀 35,501評論 5 345
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布,位于F島的核電站帽借,受9級特大地震影響珠增,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜砍艾,卻給世界環(huán)境...
    茶點故事閱讀 41,119評論 3 328
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一蒂教、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧脆荷,春花似錦凝垛、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,731評論 0 22
  • 一樁弒父案梦皮,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至桃焕,卻和暖如春剑肯,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背观堂。 一陣腳步聲響...
    開封第一講書人閱讀 32,865評論 1 269
  • 情欲美人皮
    我被黑心中介騙來泰國打工退子, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留岖妄,地道東北人。 一個月前我還...
    沈念sama閱讀 47,899評論 2 370
  • 代替公主和親
    正文 我出身青樓寂祥,卻偏偏與公主長得像荐虐,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子丸凭,可洞房花燭夜當晚...
    茶點故事閱讀 44,724評論 2 354

推薦閱讀更多精彩內(nèi)容