有了它，免费的https证书用到爽

let’s encrypt YYDS

Let’s Encrypt 是一个免费、自动化和开放的证书颁发机构 (CA)。 Let’s Encrypt 颁发的证书如今受到大多数浏览器的信任，包括旧版浏览器，例如 Windows XP SP3 上的 Internet Explorer。 此外，Let’s Encrypt 可以完全自动化证书的颁发和更新。

它如何工作

在颁发证书之前，Let’s Encrypt 会验证您域的所有权。 在您的主机上运行的 Let’s Encrypt 客户端会创建一个包含所需信息的临时文件（令牌）。 Let’s Encrypt 验证服务器然后发出 HTTP 请求来检索文件并验证令牌，这会验证您的域的 DNS 记录是否解析为运行 Let’s Encrypt 客户端的服务器。

如何使用

它提供一些主流web服务器的插件，比如apache、nginx等,本文以最流行的nginx为例

前置条件

1. 拥有一台服务器
2. 安装完毕nginx，并配置好相应的config
3. 拥有或控制证书的注册域名。 没有注册域名，可以使用域名注册商，例如 GoDaddy 或 dnsexit。
4. 已完成域名的DNS解析配置

下载客户端

以Ubuntu 16.04为例

1
2
3

$ apt-get update
$ sudo apt-get install certbot
$ apt-get install python-certbot-nginx

nginx简单配置

1
2
3
4
5
6

server {
    listen 80 default_server;
    listen [::]:80 default_server;
    root /var/www/html;
    server_name blog.justwannarun.com;
}

保存文件并重启

1

nginx -t && nginx -s reload

使用客户端进行证书生成

1

sudo certbot --nginx -d justwannarun.com -d blog.justwannarun.com

在生成过程中遇到了一个小插曲 DNS-01 challenge
因为它要通过DNS验证你是否控制了该域名，所以需要在DNS中配置它给出的token

配置完之后，再进行确认操作，等待提示成功，就说明成功了（此处废话学问）

此时nginx配置会被修改

自动续期

证书有效期一般两个月，所以我们还要配置下自动续期

1

$ crontab -e

打开这个定时任务文件，添加一行

1

0 12 * * * /usr/bin/certbot renew --quiet

这样每12小时就会执行一次续期，自动化起来了，完美

结语

感谢let’s encrypt，有机会一定会捐赠哒~（手动狗头）