配置新版 Let’s Encrypt (Certbot) 證書
阿新 • • 發佈:2019-02-14
前言
在上個月 (2016年05月) Let’s Encrypt 證書工具升級改名了,現在的名稱為Certbot
由於我將近一個月沒有維護我的伺服器,結果發生舊版客戶端證書失效的事情…
正好最近有時間,重灌一次伺服器順道重新寫一些配置流程。
Certbot簡介
其實這東西就是之前的letsencrypt那個工具,只不過新版本起了一個正式的名稱而已,舊的專案地址 如今也會跳轉到 新的專案頁。
而且這個工具現在有了專門官方網站,通過這個網站我們可以很容易的安裝和使用這個工具。
安裝
由於我使用的是 debian 8 系統 + nginx ,根據官方網站的嚮導,採用的是配置apt源的安裝方式安裝,步驟很簡單。
配置 jessie-backports 源
Certbot 被包含在了 debian 的不穩定軟體源 jessie-backports
中了。
我依舊採用的是在 /etc/apt/sources.list.d/
中新增新的檔案backports.list
,在檔案中寫入以下配置
deb http://ftp.debian.org/debian jessie-backports main
安裝Certbot
這個其實沒什麼好寫的,只需要注意在 install 的時候需要加入 -t jessie-backports
這個引數
sudo aptitude update && sudo aptitude install -t jessie-backports certbot
執行
這個工具的執行方法和之前的完全一樣,就不多寫了
certbot certonly
然後就是一系列的互動操作,和之前的一樣
證書生成的位置還是之前的/etc/letsencrypt/live/{domain}
自動更新
這個和之前的變化也不大,只是多了一個檢測的命令。
下面這個命令可以檢測 更新指令碼是否正常。
certbot renew --dry-run
如果執行上面的這個命令沒有報錯的話,那麼就可以安心的在cron任務裡配置這個命令。
certbot renew --quiet
此外還有個更高階的更新命令
certbot renew --standalone --pre-hook "service nginx stop" --post-hook "service nginx start"