网站首页 > 精选文章 正文
本文手把手教你如何在 Linux 上使用 Certbot 配置 HTTPS,包括安装 Certbot、修改 Nginx 配置、设置 server_name、申请证书及证书续期。
文章内容
C 一. 安装 Certbot
我用的 Alibaba Cloud Linux 3 操作系统(类似于 rhel fedora centos anolis),安装工具用 dnf / yum :
1.1 获取软件源最新包信息
在安装之前,需要获取软件源最新包信息,确保包管理系统使用的是 最新的 、有效的软件包数据。否则可能会遇到 包管理错误或无法安装最新的 #技术分享 #掘金软件版本 的问题。
dnf update
C 1.2 安装 Certbot 和 Nginx 插件
- certbot 是 Let’s Encrypt 提供的一个工具,用于自动化证书的获取、安装和续期
- python3-certbot-nginx 是为 Nginx 配置 SSL 证书的插件。
yum install certbot python3-certbot-nginx
二. 前期准备
2.1 确保nginx配置文件为 UTF-8 编码
Certbot 只能正确处理 UTF-8 编码的文件(否则在在2.4步骤会报:Could not read file: /etc/nginx/nginx.conf due to invalid character. Only UTF-8 encoding is supported. ),使用 file 命令检查文件的编码:
file /etc/nginx/nginx.conf
如果不是 UTF-8 ,则使用 iconv 命令可以转换文件编码:
iconv -f <原编码> -t utf-8 <输入文件> -o <输出文件>
所以我这里要将 ISO-8859 转为 utf-8 :
iconv -f ISO-8859-1 -t UTF-8 /etc/nginx/nginx.conf -o /etc/nginx/nginx.conf
检查一下,已成功转为 utf-8 :
2.2 配置 nginx 的 server_name
Certbot 的 --nginx 插件依赖 server_name 来确定将证书应用到哪个站点,如果没有明确配置 server_name ,它无法自动完成安装:
配置 server_name :
server {
listen 80
listen [::]:80
+ server_name minijude.cn www.minijude.cn
root /home
include /etc/nginx/default.d/*.conf
error_page 404 /404.html location = /40x.html { }
error_page 500 502 503 504 /50x.html location = /50x.html { } }
2.3 提供你的邮箱
Certbot 在申请证书时需要注册一个账户,并要求提供一个电子邮件地址,用于:
- 接收 Let’s Encrypt 关于证书续期或安全问题的通知。
- 作为联系你的方式(例如证书即将过期的提醒)。
不提供邮箱会报错:An e-mail address or
--register-unsafely-without-email must be provided. 。
你可以选择绕过( 不推荐 ):
certbot --nginx -d minijude.cn -d www.minijude.cn --register-unsafely-without-email
使用 --email 来提供邮箱:
certbot --nginx -d minijude.cn -d www.minijude.cn --email 1546985690@qq.com
三. 获取 SSL 证书
以上前期准备都完成后,就可以使用 Certbot 来为你的域名申请 SSL 证书了。
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com
这将 自动生成 SSL 证书 并 修改你的 Nginx 配置文件 来启用 HTTPS。Certbot 会与 Let’s Encrypt 通信,验证你对域名的所有权,并颁发证书。
3.1 自动生成 SSL 证书位置
- 证书路径: /etc/letsencrypt/live/你的域名/fullchain.pem
- 私钥路径: /etc/letsencrypt/live/你的域名/privkey.pem
3.2 修改 Nginx 配置文件,修改了哪些?
server {
- listen 80
- listen [::]:80
server_name minijude.cn www.minijude.cn
root /home
include /etc/nginx/default.d/*.conf error_page 404 /404.html location = /40x.html { }
error_page 500 502 503 504 /50x.html location = /50x.html { }
+ listen [::]:443 ssl ipv6only=on
+ listen 443 ssl
+ ssl_certificate /etc/letsencrypt/live/minijude.cn/fullchain.pem
+ ssl_certificate_key /etc/letsencrypt/live/minijude.cn/privkey.pem
+ include /etc/letsencrypt/options-ssl-nginx.conf
+ ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem
}
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+ server {
+ if ($host = www.minijude.cn) {
+ return 301 https://$host$request_uri
+ }
+
+
+ if ($host = minijude.cn) {
+ return 301 https://$host$request_uri
+ }
+
+
+ listen 80
+ listen [::]:80
+ server_name minijude.cn www.minijude.cn
+ return 404
+
+ }
四. 自动续期
Let's Encrypt 证书的有效期为 90 天,但 Certbot 会在你安装时自动创建一个续期任务,可以手动测试续期:
sudo certbot renew --dry-run
如果测试通过,自动续期将在每天运行一次,确保证书不会过期。
--- 以上这就是为 Linux Web 服务器配置 HTTPS 证书的基本步骤。
五. 进阶-为域名和所有子域名申请通用的证书
每次当需要扩展一个新的子域名时候,都需要申请一个 ssl 证书,那能否申请一个通用的证书?
可以的,下面请看实操:
5.1 运行 manual 模式的 certbot 命令
certbot certonly --manual --preferred-challenges dns -d "*.example.com" -d example.com
- --manual :手动模式,不依赖 DNS API
- --preferred-challenges dns :指定使用 DNS 验证
- -d 后面列出你要包含的域名
5.2 添加一条 TXT 类型的域名解析记录
红框部分意思让我们去配置一个 TXT 的记录,name 和 value 都告诉我们了,于是我到域名列表中添加一条解析:
按 enter 继续:
红框意思是可以从
toolbox.googleapps.com/apps/dig/#T… 这里网址查看你刚刚配置的是否生效。
然后成功:
然后就可以在 nginx 中添加一个子域名的 server 块:
server {
listen 443 ssl;
ssl_certificate /etc/letsencrypt/live/xxx/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/xxx/privkey.pem;
include /etc/letsencrypt/options-ssl-nginx.conf;
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
server_name wechat.fengxingmedia.com www.wechat.fengxingmedia.com;
location / { proxy_pass http://127.0.0.1:3000; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } }
最后别忘了 systemstl reload nginx ,再配置一条目标域名的解析记录:
```
5.3 证书过期重新申请
certbot certonly --manual --preferred-challenges dns -d example.cn -d *.example.cn --renew-by-default
后续步骤一致。
```
猜你喜欢
- 2025-09-04 安防方案系统图制作利器——浙江大华图标库元素版V1.0
- 2025-09-04 如何在Eclipse中搭建Zabbix源码的调试和开发环境
- 2025-09-04 【FFmpeg笔记】 从零开始之滤镜_ffmpeg入门教程
- 2025-09-04 Zabbix的智能运维体系建设实践,超详细Zabbix安装部署详情
- 2025-09-04 Linux 命令总结,建议收藏_linux命令大全chm版
- 2025-09-04 《ChangeFolderIcon v1.0.4:文件夹图标的定制化解决方案》
- 2025-09-04 谷歌浏览器 Chrome 100 正式版发布:图标有变
- 2025-09-04 轻松DIY一个专属个人网盘_轻松diy一个专属个人网盘下载
- 2025-09-04 精品博文配置编译 及测试QT/Embedded 环境
- 2025-09-04 乌克兰最高拉达通过法案,禁止在乌使用字母“Z”和“V”
- 最近发表
-
- 安防方案系统图制作利器——浙江大华图标库元素版V1.0
- 如何在Eclipse中搭建Zabbix源码的调试和开发环境
- 【FFmpeg笔记】 从零开始之滤镜_ffmpeg入门教程
- Zabbix的智能运维体系建设实践,超详细Zabbix安装部署详情
- Linux 命令总结,建议收藏_linux命令大全chm版
- 《ChangeFolderIcon v1.0.4:文件夹图标的定制化解决方案》
- 谷歌浏览器 Chrome 100 正式版发布:图标有变
- 轻松DIY一个专属个人网盘_轻松diy一个专属个人网盘下载
- 精品博文配置编译 及测试QT/Embedded 环境
- 乌克兰最高拉达通过法案,禁止在乌使用字母“Z”和“V”
- 标签列表
-
- 向日葵无法连接服务器 (32)
- git.exe (33)
- vscode更新 (34)
- dev c (33)
- git ignore命令 (32)
- gitlab提交代码步骤 (37)
- java update (36)
- vue debug (34)
- vue blur (32)
- vscode导入vue项目 (33)
- vue chart (32)
- vue cms (32)
- 大雅数据库 (34)
- 技术迭代 (37)
- 同一局域网 (33)
- github拒绝连接 (33)
- vscode php插件 (32)
- vue注释快捷键 (32)
- linux ssr (33)
- 微端服务器 (35)
- 导航猫 (32)
- 获取当前时间年月日 (33)
- stp软件 (33)
- http下载文件 (33)
- linux bt下载 (33)