安装certbot
wget https://dl.eff.org/certbot-auto chmod a+x certbot-auto
然后就是通过这个脚本获取证书,安装前先将NGINX 停一下。
./certbot-auto certonly --standalone -d xxx.com
他会升级一些python等依赖包啥的
然后会提示输入邮箱,还有是否同意,填邮箱,选agree,选yes即可。
这个时候就会提示获取证书成功,这个证书的有效期是90天,所以需要设置一个定时任务每90天就去自动下载最新的ssl证书。
先在NGINX里改配置,在server{}里面加入下面一句话。注意里面的xxx.com是你自己的刚才执行脚本后面的-d后面的域名
listen 443 ssl;
ssl on;
ssl_certificate /etc/letsencrypt/live/xxx.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/xxx.com/privkey.pem;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;
ssl_prefer_server_ciphers on;
最后设置一下定时任务,这个定时任务是centos 6的
0 0 * * * /usr/local/bin/certbot-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start"
下面这个定时任务是centos 7的
0 0 * * * /usr/local/bin/certbot-auto renew --pre-hook "systemctl stop nginx" --post-hook "systemctl start nginx"
重启一下nginx 完成操作