部署支持 https 的 Nginx 服务

通过 certbot 为 nginx 开启https支持。

环境

• centos 7.1
• python2.x(这玩意系统里本来就有)

安装nginx

sudo yum install nginx -y

顺手启动：

sudo systemctl start nginx

顺手设置开机启动：

sudo systemctl enable nginx

嗯，就完成了。 至于配置文件，会在后面设置。

配置https

此处我们使用 let's encrypt 提供的证书。且为了方便设置，使用 certbot 配置工具。

工具获得

证书机构: let's encrypt - https://letsencrypt.org
配置工具: certbot - https://certbot.eff.org/

事实上，你根本用不到上面两个链接，我把它们写在这只是为了方便了解其他细节，顺便表示尊重。

实际上我们可以直接通过包管理器获取 certbot 工具。

首先需要安装 epel 源:

sudo yum install epel-release -y

然后安装 certbot :

sudo yum install python2-certbot-nginx -y

工具安装完成。

使用 certbot

certbot 使用命令行中的交互式配置，我们启动它，然后跟着指示一步一步完成就行。

一、 启动 certbot

通过命令:

sudo certbot --nginx

二、 填写邮箱

在下述提示后，填写你的邮箱地址。

enter email address (used for urgent renewal and security notices) (enter 'c' to cancel): xxxx@xxxx.com

输入你的邮箱地址，回车确定。

三、 同意用户协议

下述提示提醒你阅读并同意用户协议之类的。

please read the terms of service at https://letsencrypt.org/documents/le-sa-v1.2-november-15-2017.pdf.
you must agree in order to register with the acme server at https://acme-v02.api.letsencrypt.org/directory
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(a)gree/(c)ancel: a

输入字母 a 回车确定。

四、 请求分享你的邮箱

意思是他们会没事给你发发广告邮件。同意就是了 ╮(╯▽╰)╭

would you be willing to share your email address with the electronic frontier foundation, a founding partner of the let's encrypt project and the non-profit organization that develops certbot? we'd like to send you email about our work encrypting the web, eff news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(y)es/(n)o: y

输入字母 y 回车确定。

五、 指定域名

由于我们在安装nginx后没有配置站点，所以此处要求我们提供域名，配置工具会帮我们填写nginx的配置文件。

no names were found in your configuration files. please enter in your domain name(s) (comma and/or space separated)  (enter 'c' to cancel): www.xxxx.com xxx.xxxx.com

输入你自己的域名（多个域名中间用空格隔开）回车确定。

六、 重定向

会询问你是不是要把所有http请求重定向到https。当然要了～

please choose whether or not to redirect http traffic to https, removing http access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: no redirect - make no further changes to the webserver configuration.
2: redirect - make all requests redirect to secure https access. choose this for new sites, or if you're confident your site works on https. 
you can undo this change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2

输入数字 2 回车确定。

七、 完成

此时配置已经完成。你可以在接下来的输出中找到如下段落：

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
congratulations! you have successfully enabled https://www.xxxx.com and https://xxx.xxxx.com

you should test your configuration at:
https://www.ssllabs.com/ssltest/analyze.html?d=www.xxxx.com
https://www.ssllabs.com/ssltest/analyze.html?d=xxx.xxxx.com
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

意思就是你已经成功配置了 www.xxxx.com xxx.xxxx.com 两个域名（就是在 步骤五 输入的那两个，当然，你输入了多少个这里就会显示多少个）。
并且你可以在 https://www.ssllabs.com/ 这个网站上测试域名的状态。

八、 证书过期

由于 let's encrypt 的免费证书有效期是90天，所以你需要每80几天重新申请一次。

certbot 可以通过简单的命令完成这个工作:

certbot renew

如果你还是觉得麻烦，可以把这个操作设为定时任务，每80几天运行一次，就可以高枕无忧了。

其他

支持https的nginx已经完全配置完成。接下来把你的站点放在nginx的目录下就行，一般是 /usr/share/nginx/html 如果不是这里，你可以在nginx的配置文件里找到，配置文件位于 /etc/nginx/nginx.conf 。

在浏览器中打开站点，就能看到地址栏上的小绿锁了～

原文发布于