# apt-get instalează letsencrypt -t jessie-backports
Dacă decideți să puneți din site (sau nu aveți de ales), atunci:
# mv certbot-auto / usr / bin / letsencrypt
Acum important. La ora actuală (bine, dacă nu faceți diagonala pe diagonală, dar în ordine) nu ar trebui să începem nimic din ceea ce ocupă porturile 80/443. Dacă rulează, sunteți binevenit în /etc/init.d/ oprire până când citiți articolul despre setarea ssl în nginx (pe care încă nu l-am scris, heh).
Dar, în general, eu sunt pe care le folosim acum modul independent, care verifică pentru domeniul „proprietate“ lansează serverul de web de pe porturile 80 și 443, și bâjbâie pe http (e) fișiere pe care letsencrypt merge in afara. Mai târziu vom folosi modulul Webroot, care va crea aceste fișiere într-un anumit director (și pentru noi, pentru a porni clientul nu va trebui să LE Nginx stopat), dar acest lucru este, după setările Nginx corecte.
În letsencrypt, puteți să comandați un certificat pentru mai multe domenii (și aveți nevoie - indiferent de numărul de povești SNI pe care nu le-ați ascultat, nu toți clienții încă o suportă). Singura condiție pentru obținerea unui certificat este permisiunea de a permite accesul la http (e) pentru toate domeniile pentru care solicitați un certificat pentru un anumit uri și pentru a obține un fișier specific pentru acest uri. uri și conținutul fișierului este generat dinamic, dacă este cazul. În consecință, pentru a obține un certificat - domeniul ar trebui să "se uite" deja în serverul dorit.
Acum trebuie să obținem un certificat pentru fqdn-ul serverului nostru (sau alt domeniu pe care îl veți folosi pentru a găzdui panourile de administrare). De exemplu, voi adăuga un al doilea domeniu (în general, puteți specifica opțiunea -d de aproximativ 100 de ori pentru a obține un certificat pentru o sută de domenii).
Să mergem. Ordinem certificatul eliberând mai întâi porturile 80/443:
# letsencrypt certonly -n --standalone -d yourfqdn.example.com -d seconddomain.example.com --agree-tos --email [email protected]
Dacă aveți deja configurate nginx (partea 16 din Manualul Mare), atunci trebuie să folosim modulul webroot:
# Letsencrypt certonly --webroot -w -n / var / www / letsencrypt / -d yourfqdn.example.com -d seconddomain.example.com --agree-tos --email [email protected]
Ambele comenzi pot fi utilizate și în viitor pentru a reînnoi certificatele.
Acum despre opțiunile:
-n - opțiunea citește "Taci și nu întrebi nimic". În cazul în care la începutul LE se întâmplă EHH - care elimină această opțiune, clientul începe să pună întrebări, în loc să folosească un comportament implicit.
certonly - de fapt, opțiunea "comandă un certificat"
-standalone - clientul va lansa propriul server web pentru a trece testul.
-webroot - pentru a trece testul, clientul va crea fișiere temporare în directorul specificat.
-w - aici specificăm directorul pentru -webroot
-d - specificați domeniul pentru care comandăm certificatul. Opțiunea -d poate fi specificată de mai multe ori pentru a obține un certificat pentru mai multe domenii (verificarea va fi pentru toate domeniile).
-agree-tos - suntem de acord cu toci în mod automat (pentru a nu apăsa din nou săgețile înainte de lansarea clientului).
-email - aici specificați (teoretic) poșta pentru a vă restaura certificatele. Numai acum restaurarea nu funcționează =) Deci scrie acolo pentru viitor orice casetă de lucru (este posibil în orice domeniu).
Dacă ați făcut totul bine, atunci la sfârșitul lucrării dvs. clientul ne va spune ceva de genul:
Dacă nu vedeți o astfel de inscripție, îndepărtați opțiunea -n și porniți din nou clientul. Dacă acest lucru nu este clar, adăugați opțiunea -v (verbose) pentru a afla unde nu funcționează.
Rămâne pentru noi să pregătească un fișier cu un certificat în formatul în care va fi capabil de a utiliza Nginx și pune-l într-un „sigur“ (bine la letsencrypt client nu a venit și nu au rupt nimic acolo) loc (locația este încă temporară):
Dacă nginx este deja configurat (sau mai degrabă, configurat așa cum este descris în Partea 18 din Manual), puteți să o faceți imediat (nu uitați să utilizați certificatul mai bine nu mai devreme de 12 ore de la primirea lui, dacă acesta este un site, unde cineva merge):
Asta e tot. Repetați procedura o dată în
3 luni =)
Ei bine, da, ce putem spune despre StartSSL - derivate din acestea un certificat poate fi folosit exact în același mod, trebuie doar să „bucătar“ în formatul corect (de exemplu, într-un singur fișier pus succesiv cheie, certificat, și lanțul de certificate privat). În plus, startssl este că, pentru 59 USD pe an, ei pot primi certificate wildcard (în orice număr). În alte cazuri, LE va fi suficient pentru tine.
Și despre chinezi de la Wosign - dracu 'ei, ei sunt chinezi =)
Articole similare
Trimiteți-le prietenilor: