Let’s encrypt 计划为网站提供免费的基本 SSL 证书,以加速互联网从 HTTP 向 HTTPS 过渡。
该项目由Mozilla、Cisco、Akamai、IdenTrust、EFF 和密歇根大学研究人员共同参与。
https的ssl证书问题一直是广大站长头疼的问题,自从百度宣布https站点正常收录并优先抓取以来,很多网站开始向https过渡,最近Apache和Nginx新版本相继开始支持http/2,由于http/2必须使用https,使得ssl的证书问题更加迫切。
ssl证书一般价格比较昂贵,Comodo这些廉价证书又无法续期。Let’s encrypt项目雪中送炭,很好的解决了SSL证书问题。
该项目目前已经开始邀请测试(内测),并将于2015年12月3日公开测试。
由于国内的DNS服务器容易查询超时(包括dnspod,阿里云解析),推荐使用国外的DNS服务器解析,panni的域名采用的是he.net的DNS服务,he.net的官网:dns.he.net DNS服务器为以下5组:
ns1.he.net ns2.he.net ns3.he.net ns4.he.net ns5.he.net
注意点:官方说python需要2.7以上版本,2.6版本会报错,也可以生成证书
环境:centos6.5 x86 python默认2.6版本
1、准备条件:安装EPEL库
yum install http://mirrors.ustc.edu.cn/fedora/epel/6/i386/epel-release-6-8.noarch.rpm
2、克隆Let’s encrypt库,并生成证书
yum install git -y
git clone https://github.com/letsencrypt/letsencrypt
./letsencrypt-auto certonly --debug
--debug参数一定要加上,不然报致命错误。
3、按照图形界面填写需要认证的域名:www.panni.me和panni.me,中间用空格隔开
4、看到以下内容说明证书生成成功
5、修改nginx配置文件
listen 443 ssl http2;
server_name www.panni.me panni.me;ssl_certificate /etc/letsencrypt/live/www.panni.me/fullchain.pem;
sl_certificate_key /etc/letsencrypt/live/www.panni.me/privkey.pem;
6、访问https://panni.me查看ssl证书