https://certbot.eff.org/lets-encrypt/centosrhel7-nginx
安装
Certbot打包在EPEL(企业Linux的额外包)中。要使用Certbot,必须先 启用EPEL存储库。在RHEL或Oracle Linux上,还必须启用可选通道。
注意:
如果您在EC2上使用RHEL,则可以通过运行以下命令启用可选通道:
$ yum -y install yum-utils $ yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional
执行此操作后,您可以通过运行以下命令安装Certbot:
$ sudo yum install python2-certbot-nginx
Certbot的DNS插件也可用于您的系统,可用于从Let's Encrypt的ACMEv2服务器自动获取通配符证书。 要使用其中一个插件,您必须为要获取Certbot具有插件的DNS提供程序获取证书的域配置DNS。可以在此处找到这些插件的列表以及有关使用它们的更多信息 。要安装其中一个插件,请运行上面的安装命令,但将python2-certbot-nginx替换为要安装的DNS插件的名称。
入门
Certbot有一个Nginx插件,在许多平台上都支持,并且安装了证书。
$ sudo certbot --nginx
运行此命令将为您获取证书,并让Certbot自动编辑您的Nginx配置以提供服务。如果您感觉更加保守并想手动更改Nginx配置,则可以使用certonly 子命令:
$ sudo certbot --nginx certonly
如果您想使用Let's Encrypt的新ACMEv2服务器获取通配符证书,您还需要使用 Certbot的DNS插件之一。为此,请确保使用上述说明安装DNS提供程序的插件,并运行如下命令:
$ sudo certbot -a dns-plugin -i nginx -d“* .example.com”-d example.com --server https://acme-v02.api.letsencrypt.org/directory
您需要将dns-plugin替换为您要使用的DNS插件的名称。您可能还需要提供其他标志,例如API凭据的路径,如上面链接的DNS插件的文档中所述。
要了解有关如何使用Certbot的更多信息,请 阅读我们的文档 。
自动续订
可以将Certbot配置为在证书过期之前自动续订证书。由于Let's Encrypt证书持续90天,因此最好利用此功能。您可以通过运行以下命令来测试证书的自动续订:
$ sudo certbot renew --dry-run
如果这看起来工作正常,您可以通过添加运行以下命令的
cron作业
或
systemd计时器
来安排自动续订:
certbot续订
注意:
如果您正在设置cron或systemd作业,我们建议每天运行两次(在您的证书到期或续订之前,它将不会执行任何操作,但定期运行它会使您的站点有机会保持在线状态案例a由于某种原因,我们发生了加密启动的撤销。请在一小时内随机选择续订任务。
一个示例cron作业可能看起来像这样,它将在每天中午和午夜运行:
0 0,12 * * * python -c'导入随机; 进口时间; time.sleep(random.random()* 3600)'&& certbot renew
有关续订的更多详细信息和选项可在完整文档中找到。
手动添加证书:
certbot certonly --standalone -d rightdmp.com.cn -d www.rightdmp.com.cn -d console.rightdmp.com.cn -d dev.rightdmp.com.cn -d env.rightdmp.com.cn
事先关闭80端口,域名解析到此主机,确保此主机的80端口是通的。可以不用安装httpd或nginx