https://certbot.eff.org/lets-encrypt/centosrhel7-nginx
安裝
Certbot打包在EPEL(企業Linux的額外包)中。要使用Certbot,必須先 啟用EPEL存儲庫。在RHEL或Oracle Linux上,還必須啟用可選通道。
注意:
如果您在EC2上使用RHEL,則可以通過運行以下命令啟用可選通道:
$ yum -y install yum-utils $ yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional
執行此操作后,您可以通過運行以下命令安裝Certbot:
$ sudo yum install python2-certbot-nginx
Certbot的DNS插件也可用於您的系統,可用於從Let's Encrypt的ACMEv2服務器自動獲取通配符證書。 要使用其中一個插件,您必須為要獲取Certbot具有插件的DNS提供程序獲取證書的域配置DNS。可以在此處找到這些插件的列表以及有關使用它們的更多信息 。要安裝其中一個插件,請運行上面的安裝命令,但將python2-certbot-nginx替換為要安裝的DNS插件的名稱。
入門
Certbot有一個Nginx插件,在許多平台上都支持,並且安裝了證書。
$ sudo certbot --nginx
運行此命令將為您獲取證書,並讓Certbot自動編輯您的Nginx配置以提供服務。如果您感覺更加保守並想手動更改Nginx配置,則可以使用certonly 子命令:
$ sudo certbot --nginx certonly
如果您想使用Let's Encrypt的新ACMEv2服務器獲取通配符證書,您還需要使用 Certbot的DNS插件之一。為此,請確保使用上述說明安裝DNS提供程序的插件,並運行如下命令:
$ sudo certbot -a dns-plugin -i nginx -d“* .example.com”-d example.com --server https://acme-v02.api.letsencrypt.org/directory
您需要將dns-plugin替換為您要使用的DNS插件的名稱。您可能還需要提供其他標志,例如API憑據的路徑,如上面鏈接的DNS插件的文檔中所述。
要了解有關如何使用Certbot的更多信息,請 閱讀我們的文檔 。
自動續訂
可以將Certbot配置為在證書過期之前自動續訂證書。由於Let's Encrypt證書持續90天,因此最好利用此功能。您可以通過運行以下命令來測試證書的自動續訂:
$ sudo certbot renew --dry-run
如果這看起來工作正常,您可以通過添加運行以下命令的
cron作業
或
systemd計時器
來安排自動續訂:
certbot續訂
注意:
如果您正在設置cron或systemd作業,我們建議每天運行兩次(在您的證書到期或續訂之前,它將不會執行任何操作,但定期運行它會使您的站點有機會保持在線狀態案例a由於某種原因,我們發生了加密啟動的撤銷。請在一小時內隨機選擇續訂任務。
一個示例cron作業可能看起來像這樣,它將在每天中午和午夜運行:
0 0,12 * * * python -c'導入隨機; 進口時間; time.sleep(random.random()* 3600)'&& certbot renew
有關續訂的更多詳細信息和選項可在完整文檔中找到。
手動添加證書:
certbot certonly --standalone -d rightdmp.com.cn -d www.rightdmp.com.cn -d console.rightdmp.com.cn -d dev.rightdmp.com.cn -d env.rightdmp.com.cn
事先關閉80端口,域名解析到此主機,確保此主機的80端口是通的。可以不用安裝httpd或nginx