简介
Let’s Encrypt是证书颁发机构,Certbot是Let’s Encrypt的客户端,它们之间使用ACME协议通信,除了Certbot还有其他客户端,但官方推荐CertBot,Certbot是一个免费、开源的软件,它能自动从Let’s Encrypt下载证书、证书自动续期,支持nginx/tomcat,以往我们都从阿里云、腾讯云买证书,有了Let’s Encrypt就可以省下这部分钱了。
Certbot is a free, open source software tool for automatically using
Let’s Encrypt certificates on manually-administrated websites to
enable HTTPS.
Let’s Encrypt是一个免费、自动化、开放的证书授权机构。
Let’s Encrypt is a free, automated, and open certificate authority
brought to you by the nonprofit Internet Security Research Group
(ISRG).
安装
安装certbot需要选一下web server和操作系统,比如我的web server是nginx,操作系统是CentOS7查看CentOS版本,不得不说,Certbot的文档写的是真详细,照着文档一步步来就可以安装好。
简单说下对Certbot的理解,
- 会根据域名自动生成证书,
- 自动添加https配置到nginx里(可选的,可以只生成证书,手工配置nginx)
- 证书自动续期,(添加定时任务定时更新过期证书)
- 查看定时任务命令,
systemctl list-timers
- 查看定时任务命令,
安装过程遇到的问题
执行sudo certbot --nginx这一步时,报了nginx command not found错误,试了一下sudo which nginx的确找不到nginx命令,因为是安装的openresty,后来使用ln -s /usr/local/openresty/nginx/sbin/nginx /usr/bin/nginx解决了,其实就是在/usr/bin目录下创建了一个软链接指向真实的nginx命令路径,经过与同事讨论得知,使用ln -s /usr/bin/openresty /usr/bin/nginx更加合理,这样就不用关心openresty的安装目录了。