[转]部署Let’s Encrypt免费SSL证书&&自动续期

时间 2019-11-19

标签部署 let encrypt 免费 ssl 证书自动续期栏目 SSL 繁體版

原文原文链接

最近公司网站要用https，从本身摸索到找到国内的免费证书到选购正式的收费证书，最后老板说：太贵！不要。一脸懵逼的听老板提到Let’s Encrypt证书，没办法，用呗。以前是有一些了解，国外发布的一款纯免费证书，只是以为天下没有免费的午饭，免费和收费的差距确定仍是有的。因而，硬着头皮开始鼓捣Let’s Encrypt证书。

前言

Let's Encrypt 做为新的证书颁发机构，免费，自动，开放，这三点对于我的用户来讲尤其重要。免费自不用说，自动更是免去了不少过程和麻烦。官网目前推荐的获取和安装方式是 certbot ，只须要简单运行一些命令并做一些配置便可。

前提

1.须要有域名，它会生成指定域名的证书。(填IP会报错不支持的)

1.须要在域名指向的服务器上能访问https。(否则会报找不到443端口的错误)

2.须要linux环境。

部署

获取Let's Encrypt

##获取

wget https://dl.eff.org/certbot-auto

##设置为可执行

chmod a+x certbot-auto

执行自动部署

./certbot-auto

部署过程当中会下载一大堆的依赖包，不须要紧张。若是须要确认,(输入"y")确认就行了

这里注意下，在执行过程当中，会卡在'Installing Python packages'，等待一段时间下载Phthon lib

若是等待很长时间都不动, 等不及了就修改pip下载源。
vi ~/.pip/pip.conf
#若是文件不存在则建立
mkdir ~/.pip
vi pip.conf
在里面修改或写入下面内容
[global]
index-url = http://mirrors.aliyun.com/pypi/simple/
[install]
trusted-host=mirrors.aliyun.com
从新执行自动部署
./certbot-auto
从新部署依然会在'Installing Python packages'卡一下子，但不会好久，五分钟之内吧。

依赖包下载完后会进入交互界面，依次是：填写邮箱、域名（多域名用空格或逗号隔开）、条款确认、验证域名全部权（这一步能够选择第一种方式，手动选择tomcat的root目录）

执行成功后会显示

Congratulations! Your certificate and chain have been saved at

/etc/letsencrypt/live/xxx.com/fullchain.pem. Your cert will

expire on 2016-10-05. To obtain a new or tweaked version of this

certificate in the future, simply run certbot-auto again. To

non-interactively renew *all* of your certificates, run

"certbot-auto renew"

此时的生成的证书文件(.pem)都已经在以下路径了

/etc/letsencrypt/

#主要用到的文件(.pem)在

/etc/letsencrypt/live/xxxxx(域名)/

自动续期

Let's Encrypt申请的证书会有三个月的有效期，能够到期前手动续约，也能够本身写定时脚本任务自动续约。嫌手动麻烦，就写了个简单的续期脚本。

一、脚本

#/bin/sh
#续期   说明：只用renew的话，会先检查证书是否须要更新，大概是距离到期还有三天或者十几天以内才会执行更新，不然会提示不须要更新。（昨天更新了证书，今天直接用renew，提示不容许更新）
#这里方便测试，增长参数--force-renew，可以强制当即更新（但好像也会有检查，时间会变短，好比我刚才更新过了，立刻再次执行会报错并提示不须要更新）。
./certbot-auto renew --force-renew
#生成p12
cd /mnt/web/letsTemp &&  openssl pkcs12 -export -in fullchain.pem -inkey privkey.pem -out fullchain_and_key.p12 -name tomcat -passin passyourPKCS12pass  -passout pass:yourPKCS12pass  
#移动新生成的证书文件
cp /etc/letsencrypt/live/yourDomain/fullchain.pem /mnt/web/letsTemp
cp /etc/letsencrypt/live/yourDomain/privkey.pem /mnt/web/letsTemp
#生成jks文件
#备份并删除原jks文件
mv /mnt/web/letsTemp/MyDSKeyStore.jks /mnt/web/letsTemp/MyDSKeyStore`date '+%Y-%m-%d'`.jks
cd /mnt/web/letsTemp && keytool -importkeystore -deststorepass yourKeyPass  -destkeypass yourKeyPass  -destkeystore MyDSKeyStore.jks -srckeystore fullchain_and_key.p12 -srcstoretype PKCS12 -srcstorepass yourPKCS12pass  -alias tomcat
#重启服务器
/mnt/web/tomcat/tomcat8/bin/restartup.sh

二、定时任务

脚本有了，还须要在linux中添加一个按期执行脚本的任务，这里用linux自带的cron来处理这部分。

crontab -e

在打开的编辑器中添加以下内容（每月1号凌晨3点更新）

0 0 3 * * sh /mnt/web/lets/ssl_auto_auth.sh >/dev/null 2>&1 &

最后

感谢下面两个博文做者提供的帮助。

http://ju.outofmemory.cn/entry/269602

https://melo.myds.me/wordpress/lets-encrypt-for-tomcat-7-on-ds/

https://github.com/letsencrypt/boulder/issues/1517

[from:http://www.linuxdiyf.com/linux/24147.html]