Let's Encrypt是一个免费的、自动的,开放的CA。
形形色色有证书扩展名和类型,我是通过这篇文章明白个大体的:http://www.cnblogs.com/guogangj/p/4118605.html
一.windows下证书生成。
1.工具的使用
参考certify,使用ACMESharp写了一个windows下Let's Encrypt证书申请工具,github地址-》https://github.com/asmrobot/LEGainer
直接使用的下载地址:http://pan.baidu.com/s/1hsqp12G
工具比较简单
第一步:修改LEGainer.exe.config文件中appSettings节的相应信息,并保存。
Mail是你的联系邮箱
Domain是你要申请证书的域名
WebDir是你网站的本地目录,LEGainer在申请证书过程中会在此目录生成文件,Let's Encrypt会通过域名访问生成的文件,所以请确保域名正确解析和绑定。
CertificateSaveDir是证书申请下来后的保存目录。
PFXPassword是pfx证书的密码。
第二步:在域名所在的主机,运行LEGainer.exe。出现“success!~Enter press any key exit!”字样时,证书就生成成功了。
假设你申请证书的域名为:centi.ztimage.com,那么LEGainer会生成如下几个证书文件:
_certificate.der是证书文件,der格式
_certificate.pem是证书pem格式
_csr.pem是证书签名请求文件
_key.pem是私钥文件
_pkcs12.pfx是iis用的存放证书和私钥的文件
更新:只用证书文件,在手机浏览器中会报找不到证书链的错误,新版会生成xxxx_chain.pem,为证书链nginx中尽量配置证书链证书。
2.nginx的证书使用
在server配置中只需要加入
listen 443 ssl;
ssl_certificate path ocenti.ztimage.com_certificate.pem;
ssl_certificate_key path ocenti.ztimage.com_key.pem;
重新加载配置即可
nginx -s reload
3.自动续约
Let's Encrypt申请的证书有效期是三个月,为了不让证书失效,可以写个计划任务,每个月月初自动执行一次证书申请。
新建Gainer.bat,输入以下内容
path oGainer.exe
path o ginx.exe -s reload
以管理员身份运行:schtasks /create /tn "letsencrypt_https" /tr path oGainer.bat /sc monthly /ru System
以后就会每个月申请一次新的证书,schtasks的介绍可以看这里:http://www.cnblogs.com/lostyue/archive/2011/10/24/2223166.html
不想写命令也可以手动操作-》控制面板-》管理程序-》任务计划程序 ,将Gainer.bat加入到任务计划中
二。linux下证书生成
1.工具,acme.sh
2.jexus使用
3.自动续约
三。https的最佳实践