ssl证书自动续期
安装acme.sh
1 | curl https://get.acme.sh | sh |
升级CA
1 | yum update ca-certificates |
将acme切换到Let’s Encrypt的CA
1 | acme.sh --set-default-ca --server letsencrypt |
签发证书
因为我的nginx 443反代到一个网站,80端口是空闲的,所以我下面使用的是acme.sh伪装自己为一个webserver的方式,其他方式
防火墙放开80端口
安装socat
1 | yum install socat |
签发证书
1 | acme.sh --issue -d 需要签发的域名 --standalone |
安装证书到指定目录,并执行新域名后需要重启的应用,如xray,nginx。acme.sh将记住操作并
1 | ~/.acme.sh/acme.sh --install-cert -d 需要签发的域名 \ |
(一个小提醒, 这里用的是 service nginx force-reload, 不是 service nginx reload, 据测试, reload 并不会重新加载证书, 所以用的 force-reload)
Nginx 的配置 ssl_certificate 使用 /etc/nginx/ssl/fullchain.cer ,而非 /etc/nginx/ssl/<domain>.cer ,否则 SSL Labs 的测试会报 Chain issues Incomplete 错误。
--install-cert命令可以携带很多参数, 来指定目标文件. 并且可以指定 reloadcmd, 当证书更新以后, reloadcmd会被自动调用,让服务器生效。
查看定时任务确保会自动执行
1 | crontab -l |
查看已安装的证书信息
1 | acme.sh --info -d 需要签发的域名 |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 共赴良策!
- 支付宝
- 微信
- qq
相关推荐
2021-11-27
在CenterOS中安装nginx
直接安装 安装依赖包 12# 一键安装上面四个依赖yum -y install gcc zlib zlib-devel pcre-devel openssl openssl-devel 下载并解压安装包 1234567# 创建一个文件夹cd /usr/localmkdir nginxcd nginx# 下载tar包wget http://nginx.org/download/nginx-1.25.3.tar.gztar -xvf nginx-1.25.3.tar.gz 安装nginx 12345678910# 进入nginx目录cd /usr/local/nginx/nginx-1.25.3# 执行默认安装命令./configure# 或者可以增加插件安装./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module# 执行make命令make# 覆盖安装执行make install命令make...
2022-01-03
nginx配置说明
何为反向代理? 在介绍反向代理之前,先来了解一下正向代理。 正向代理:如果把局域网外的 Internet 想象成一个巨大的资源库,则局域网中的客户端要访问 Internet,则需要通过代理服务器来访问,这种代理服务就称为正向代理。下面是正向代理的原理图。 由于工作环境原因,日常工作只能局限于单位的局域网,如果想要访问互联网,怎么办呢?这就需要用到正向代理。本人经常用正向代理来进行上网。 反向代理:看下面原理图,就一目了然。其实客户端对代理是无感知的,因为客户端不需要任何配置就可以访问,我们只需要将请求发送到反向代理服务器,由反向代理服务器去选择目标服务器获取数据后,在返回给客户端,此时反向代理服务器和目标服务器对外就是一个服务器,暴露的是代理服务器地址,隐藏了真实服务器 IP 地址。 正向代理和反向代理的区别,一句话就是:如果我们客户端自己用,就是正向代理。如果实在服务器用,我们用户无感知,就是反向代理。 这里有个问题:反向代理服务器,怎么选择挂在它后面的哪一台具体服务器呢?答案在后文揭晓,这就是负载均衡。 2 Nginx配置文件 在学习 Nginx...
评论