原文作者：Amir Rawdat of F5

原文链接：更新：为NGINX配置免费的Let's Encrypt SSL/TLS 证书

转载来源：NGINX 官方网站

---

众所周知，网站的 SSL/TLS 加密会为您的用户带来更靠前的搜索排名和更出色的安全性。但目前有许多障碍阻碍了网站所有者采用 SSL。

其中两个最大障碍是证书获取成本高昂和所涉人工流程繁琐。而现在，有了 Let's Encrypt，这些都不再是问题。Let's Encrypt 支持所有人免费使用 SSL/TLS 加密。

Let's Encrypt 是一家免费、开放、自动化的证书颁发机构 (CA)。是的，没错Let's Encrypt颁发的 SSL/TLS 证书是免费的。现今的大多数浏览器都信任 Let's Encrypt 颁发的证书，包括旧版浏览器，例如 Windows XP SP3 上的 Internet Explorer。此外，Let's Encrypt 实现了证书颁发和更新的全自动化。

NGINX 对于成为 Let’s Encrypt 的赞助者之一感到非常骄傲。

本文介绍了如何使用 Let's Encrypt 客户端生成证书，以及如何自动配置 NGINX 开源版和 NGINX Plus 以使用这些证书。

Let's Encrypt 的工作原理

在颁发证书之前，Let's Encrypt 会验证域名的所有权。在您的主机上运行的 Let's Encrypt 客户端将创建一个临时文件（一个令牌），其中包含所需的信息。然后，Let's Encrypt 验证服务器会发出 HTTP 请求以检索文件并验证令牌，从而验证您域名的 DNS 记录是否解析到运行 Let's Encrypt 客户端的服务器。

准备工作

在开始使用 Let's Encrypt 之前，您需要：

• 安装NGINX开源版或NGINX Plus。
• 如果没有注册域名，可以在域名注册商处申请。
• 创建一条DNS记录，将您的域名和服务器的IP地址关联。

_现在可以使用NGINX版本或NGINX_开源设置设置（为了便于阅读NGINX Plus，您可以方便地使用密码统称为）。

**注：**我们在 Ubuntu 16.04 (Xenial) 上测试了本文所述的程序。

1、下载 Let's Encrypt 客户端

首先，下载 Let's Encrypt 客户端certbot。

1. 上面那个，我们在 Ubuntu6.04 测试相关指令，下面是在平台上运行的相应命令：

$ apt-get update
$ sudo apt-get install certbot
$ apt-get install python-certbot-nginx

使用 Ubuntu 18.04 和更高版本，替代 Python 3 版本：

$ apt-get update
$ sudo apt-get install certbot
$ apt-get install python3-certbot-nginx

2、设置NGINX

certbot可以自动完成 NGINX 的 SSL/TLS 配置修改。它会在您的 N 配置中查找并包含server_name指令（包含您的委托请求的域名）server在我们的示例中，域名为**www.example.com**。

1. 您在全新的 NGINX 安装上进行设置，请使用文本编辑器在**/etc/nginx/conf.d目录中创建一个名为域名的.conf文件（在我们的示例中为www.example。 com.conf**）。

2. 使用server_name指令指定您的域名（如果域名有变体的话请指定）：

   server {
       listen 80 default_server;
       listen [::]:80 default_server;
       root /var/www/html;
       server_name example.com www.example.com;
   }
   

3. 保存文件，然后运行以下命令来验证配置的语法并重新启动 NGINX：

   $ nginx -t && nginx -s reload
   

3、获取 SSL/TLS 证书

certbot 的 NGINX 插件负责重新配置 NGINX，并在必要时重新加载其配置。

1. 运行以下命令，使用 NGINX 插件生成证书：

   $ sudo certbot --nginx -d example.com -d www.example.com

2. 根据 certbot 的提示配置 HTTPS 设置，包括输入您的电子邮件地址并同意 Let's Encrypt 服务条款。

   证书生成后，NGINX 重新加载新设置。certbot 生成一条消息，显示证书成功生成，并指示证书在服务器上的位置。

   Congratulations! You have successfully enabled https://example.com and https://www.example.com 
   -------------------------------------------------------------------------------------
   IMPORTANT NOTES: 
   Congratulations! Your certificate and chain have been saved at: 
   /etc/letsencrypt/live/example.com/fullchain.pem 
   Your key file has been saved at: 
   /etc/letsencrypt/live/example.com//privkey.pem
   Your cert will expire on 2017-12-12.
   

   注： Encrypt 90 节后让在证书中（在本例中，自动时间为 2017 年 12 月 12 日）。让更新证书的信息，请参阅“更新加密证书”。

如果查看**域名.conf**，您会发现certbot已经进行了修改：

server {
    listen 80 default_server;
    listen [::]:80 default_server;
    root /var/www/html;
    server_name  example.com www.example.com;

    listen 443 ssl; # managed by Certbot

    # RSA certificate
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; # managed by Certbot

    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot

    # Redirect non-https traffic to https
    if ($scheme != "https") {
        return 301 https://$host$request_uri;
    } # managed by Certbot
}

4、自动更新 Let's Encrypt 证书

Let's Encrypt 证书 90 天后将执行更新操作文件。我们建议您自动在此处，我们将一个cron添加到现有的cron中，以这一点。

1. 打开crontab文件。

   $ crontab -e
   

2. 添加certbot示例，命令设置为每天运行中，我们每天运行该命令。该命令检查服务器上的证书未来 30 是否正常使用本协议，如果是，则不要更新--quiet指示建议certbot生成输出。

   0 12 * * * /usr/bin/certbot renew --quiet
   

3. 保存并文件。所有已安装的证书将自动更新并重新加载。

总结

那么，我们用SSL/来加密SSL/来注册域名证书，然后配置加密证书，更新更新更新。借助GINX和NGINX Encrypt Encrypt's's，您可以在加密证书中轻松安装Nx一个安全的网站。

---

更多资源

想要更及时全面地获取 NGINX 相关的技术干货、互动问答、系列课程、活动资源？

请前往 NGINX 开源社区：

• 官网：https://www.nginx.org.cn/

• 微信公众号：https://mp.weixin.qq.com/s/XVE5yvDbmJtpV2alsIFwJg

• 微信群：https://www.nginx.org.cn/static/pc/images/homePage/QR-code.png?v=1621313354

• B 站：https://space.bilibili.com/628384319