Let's Encrypt是免费、开放和自动化的证书颁发机构(CA),要从Let's Encrypt获取您网站域名的证书,您必须证明您对域名的实际控制权。您可以在您的Web服务器上运行使用ACME协议的软件(Certbot)来获取Let's Encrypt证书。
以下Linux命令要在网站服务器上执行。
第一步:安装证书签发工具
yum install certbot # CentOS 7.x
或者 apt install certbot # Ubuntu 16.04
第二步:申请签发SSL证书
# --webroot 表示使用ACME协议的http形式验证域名控制权 # -w 表示网站根目录 # -d <域名> 指定域名 certbot certonly --webroot -w /var/www/html -d www.baidu.com
第三步:证书签发成功
SSL证书保存在:/etc/letsencrypt/live/www.baidu.com/fullchain.pem
RSA私钥保存在:/etc/letsencrypt/live/www.baidu.com/privkey.pem
接下来就可以在Nginx上部署https网站了。
注意:在第二步申请SSL证书时,程序会通过GET请求验证您对域名的实际控制权,所以要保证网站可通过http正常访问。