Let's encrypt 使用 certbot 幫網站掛上 SSL
Let\’s encrypt 是一個非常有名的數位憑證認證機構,它提供了免費的 SSL 憑證服務,就是你網址左邊的綠色鎖頭 (HTTPS),這件事情在許多的網域商或是主機商是需要付費購買憑證的。Let\’s encrypt 雖然免費可是每次憑證的有效期限是三個月所以每到時間我們就必須去更新憑證。 certbot 是一個非常好用的機器人,他可以簡單的幫我們網站掛上 SSL 憑證,唯一缺點就是如果使用者對指令介面不熟系,可能要花一點時間去研究它了;剛剛提到的三個月就必須更新憑證這件事,身為一名高端的工程師自動的事情當然要交給程式來解決囉。
安裝與放上憑證
直接在官網上 https://certbot.eff.org/ 選擇你的系統跟你的 webserver 就會看到相對應的安裝方法,這個部分應該就不多贅述,網路上的教學也很完整。 ### 會遇到的問題
certbot 當然憑證不能亂簽他會去驗證網址是否歸你所有,所以他會去你的網址底下放驗證檔案來確保不被亂用,在這時候你可能會遇到驗證失敗原因為驗證網址為 403 / 404 這兩種的問題,所以我們需要去調整 webserver 的設定,如果你不熟系還是建議你不要亂動比較好。 以下為 nginx 相關設定
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /your/website;
}
root 請填寫你的網站根目錄,設定區段也建議放在檔案較為上面的區段,避免被其他規則覆蓋。
別忘了隨手 service nginx reload
renew
自動更新就使用 crontab 來處理 crontab -e貼入 30 2 1 /usr/bin/certbot renew --nginx --renew-hook service nginx restart >> /var/log/le-renew.log