最近出了一个背景很牛的SSL认证站点。关键是免费的,所以为了美观,浏览器上可以加个锁,我也凑了下热闹试验了一下。
有兴趣可以看一下他的官方网站 https://letsencrypt.org/
他们推荐这个工具来申请这个SSL。
https://certbot.eff.org/
这个站点对于各个环境下的操作手顺说明比较全面,我只是记录我自己的操作过程
CentOS7 事先安装
sudo yum install epel-release
sudo yum install certbot
手动颁发
./certbot-auto certonly --webroot -w /home/admin/web/www.domain.com/public_html -d sz-ming.com -d www.domain.com
由于每90天要更新一下,所以先试验下更新命令
certbot renew --dry-run
强制的话需要加个参数 ,另外不要忘了关闭本地的web服务不要占用443端口主要是
./certbot-auto renew --force-renew
如果没有问题,就可以把这个静默命令加到的自动处理里面
certbot renew --quiet
我用的是Vesta的控制面板,所以只要把几个文件的内容拷贝到相应的框里就行了
cat /etc/letsencrypt/live/DOMAIN_GOES_HERE/cert.pem
^ Copy contents into “SSL Certificate” field.
cat /etc/letsencrypt/live/DOMAIN_GOES_HERE/privkey.pem
^ Copy contents into “SSL Key” field.
cat /etc/letsencrypt/live/DOMAIN_GOES_HERE/chain.pem
^ Copy contents into “SSL Certificate Authority” field.
Apache强制重定向到443,就是客户访问HTTP端口自己转到HTTPS的443端口,可以修改WEBROOT目录下的.htaccess文件
RewriteEngine On
RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule .* http://tmp.mydomain.com%{REQUEST_URI} [L,R=301]