利用 Let’s Encrypt 自动续订证书

通过 Let’s Encrypt 自动续订证书

最近随着腾讯云阿里云等国内一众厂商将免费 SSL 证书由原来的 1 年时间调整为 90 天，给维护带来了很多麻烦，原来更新 SSL 证书只需要 1 年更新一次，现在 1 年需要更新 4 次，实在是太麻烦了。

于是寻找可以免费自动更新 SSL 证书的服务，也就是 Let’s Encrypt 配合 Certbot 自动更新证书。

首先介绍一下这两个服务：

什么是Let’s Encrypt

Let’s Encrypt是一个提供免费SSL/TLS证书的证书颁发机构（CA）。它由非营利组织Internet Security Research Group（ISRG）创立，旨在提高互联网的安全性和隐私保护。

使用SSL/TLS证书可以加密您的网站和用户之间的通信，并且可以保护您的用户免受中间人攻击等安全威胁。在过去，获取SSL/TLS证书需要支付一定的费用并需要较为繁琐的配置过程，这限制了许多小型网站和个人博客使用SSL/TLS证书。

Let’s Encrypt提供了一个自动化的证书颁发流程，可以方便地获得免费的SSL/TLS证书，同时也降低了配置的复杂度。与传统的商业CA不同，Let’s Encrypt证书只有90天有效期，但可以通过自动化续订流程来延长有效期，这使得证书的管理更加便捷。

Let’s Encrypt证书的免费和易于使用已经得到了广泛的认可和支持，目前已经成为许多网站管理员的首选证书颁发机构之一。

什么是 Certbot？

Certbot 是一个免费的开源软件工具，用于在手动管理的网站上自动使用Let’s Encrypt证书来启用 HTTPS。

Certbot 由电子前沿基金会 (EFF)制作，该基金会是一家位于加利福尼亚州旧金山的 501(c)3 非营利组织，致力于捍卫数字隐私、言论自由和创新。

如何免费申请 SSL 证书

1、首先打开 Certbot 这个网站，选择我们的操作系统和运行的 web 服务器软件：

2、通过 SSH 的方式登录服务器，安装 snapd：

通过如下命令行安装 snapd：

sudoaptupdatesudoaptinstallsnapd

3、删除 certbot-auto 和任何 Certbot OS 软件包

如果您使用 OS 软件包管理器（例如 apt、dnf 或 yum）安装了任何 Certbot 软件包，在安装 Certbot snap 之前将其删除，以确保在运行命令时 certbot 使用的是 snap 而不是 OS 软件包管理器中的安装。执行此操作的具体命令取决于您的操作系统，但常见示例是 sudo apt-get remove certbot、sudo dnf remove certbot 或 sudo yum remove certbot。

4、安装 Certbot

通过执行如下命令安装 Certbot：

sudosnapinstall--classiccertbot

5、设置 Certbot 命令的软链接

通过执行如下命令，设置 Certbot 命令的软链接：

sudoln-s/snap/bin/certbot/usr/bin/certbot

6、获取并安装安装证书

运行如下命令以获取证书并让 Certbot 自动编辑您的 nginx 配置以提供服务，只需一步即可启用 HTTPS 访问：

sudocertbotcertonly--nginx

系统上的 Certbot 软件包附带一个 cron 作业或 systemd 计时器，可在证书过期前自动更新证书。

之后我们访问网站，可以看到已经自动启用 https 访问了，而且维护是自动化的，到期了自动续订证书，免去了手动维护的麻烦，是不是很赞👍。