Let's Encrypt 是由 Internet Security Research Group (ISRG) 开发的免费开放的证书颁发机构。Let's Encrypt 颁发的证书如今几乎得到所有浏览器的信任。

在本教程中，我们将提供有关如何使用 CentOS 7 上的 certbot 工具通过 Let's Encrypt 保护您的 Nginx 的分步说明。

先决条件

在继续本教程之前，请确保您已满足以下先决条件：

• 您有一个指向您的公共服务器 IP 的域名。在本教程中，我们将使用example.com.
• 您已经 按照如何在 CentOS 7 上安装 Nginx启用了EPEL 存储库并安装了 Nginx 。

安装证书机器人

Certbot 是一个易于使用的工具，可以自动执行获取和更新 Let's Encrypt SSL 证书以及配置 Web 服务器的任务。

要从 EPEL 存储库安装 certbot 包，请运行：

sudo yum install certbot

生成强 Dh (Diffie-Hellman) 组

Diffie–Hellman 密钥交换 (DH) 是一种通过不安全的通信通道安全地交换加密密钥的方法。

通过键入以下命令生成一组新的 2048 位 DH 参数：

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

如果您愿意，您可以将大小更改为 4096 位，但在这种情况下，生成可能需要 30 分钟以上，具体取决于系统熵。

获取 Let's Encrypt SSL 证书

要为我们的域获取 SSL 证书，我们将使用 Webroot 插件，该插件通过创建一个临时文件来验证${webroot-path}/.well-known/acme-challenge目录中请求的域。Let's Encrypt 服务器向临时文件发出 HTTP 请求，以验证请求的域是否解析为运行 certbot 的服务器。

为了更简单，我们将把所有的 HTTP 请求映射.well-known/acme-challenge到一个目录，/var/lib/letsencrypt.

以下命令将创建目录并使其可用于 Nginx 服务器。

sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp nginx /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt

为了避免重复代码，创建以下两个片段，我们将把它们包含在我们所有的 Nginx 服务器块文件中：

sudo mkdir /etc/nginx/snippets

/etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ {
  allow all;
  root /var/lib/letsencrypt/;
  default_type "text/plain";
  try_files $uri =404;
}

/etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem;

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
ssl_prefer_server_ciphers on;

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 30s;

add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;

上面的代码片段包括Mozilla推荐的芯片 ，启用 OCSP 装订、HTTP 严格传输安全 (HSTS) 并强制执行少数以安全为中心的 HTTP 标头。

创建letsencrypt.conf代码段后，打开域服务器块并包含如下所示的代码段：

/etc/nginx/conf.d/example.com.conf

server {
  listen 80;
  server_name example.com www.example.com;

  include snippets/letsencrypt.conf;
}

重新加载 Nginx 配置以使更改生效：

sudo systemctl reload nginx

您现在可以使用 webroot 插件运行 Certbot 并通过发出以下命令为您的域获取 SSL 证书文件：

sudo certbot certonly --agree-tos --email admin@example.com --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

如果成功获取 SSL 证书，certbot 将打印以下消息：

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2018-06-11. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

现在您有了证书文件，您可以 按如下方式编辑域服务器块：

/etc/nginx/conf.d/example.com.conf

server {
    listen 80;
    server_name www.example.com example.com;

    include snippets/letsencrypt.conf;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    server_name www.example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    include snippets/ssl.conf;
    include snippets/letsencrypt.conf;

    return 301 https://example.com$request_uri;
}

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    include snippets/ssl.conf;
    include snippets/letsencrypt.conf;

    # . . . other code
}

通过上面的配置，我们强制使用 HTTPS 并将 www 重定向到非 www 版本。

最后，重新加载 Nginx 服务 以使更改生效：

sudo systemctl reload nginx

自动更新 Let's Encrypt SSL 证书

Let's Encrypt 的证书有效期为 90 天。为了在证书到期前自动更新证书，我们将创建 一个每天运行两次的cronjob，并在证书到期前 30 天自动更新任何证书。

运行crontab命令以创建新的 cronjob：

sudo crontab -e

粘贴以下几行：

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"

保存并关闭文件。

要测试续订过程，您可以使用 certbot 命令后跟--dry-run开关：

sudo certbot renew --dry-run

如果没有错误，则表示测试更新过程成功。

结论

在本教程中，您使用 Let's Encrypt 客户端 certbot 为您的域下载 SSL 证书。您还创建了 Nginx 片段以避免重复代码并将 Nginx 配置为使用证书。在本教程结束时，您已经为自动证书续订设置了 cronjob。

如果您想了解有关如何使用 Certbot 的更多信息，他们的文档 是一个很好的起点。