网站的免费 https 证书申请和更新

前言#

网站的 HTTPS 现在基本已经是必须的了，不过对于个人网站而言，一年几百块的 SSL 证书显然是没有必要的，我们需要的是比较方便的免费证书。我之前一直是申请的阿里云的免费证书，不过阿里云的免费证书的有效期为一年，并且每次快过期了都要手动进行部署，修改 nginx 配置，比较麻烦。之前在 V2Ray 的配置中用了 certbot 来免费申请 Let's Encrypt 的证书，虽然有效期只要三个月，但是可以配置自动续签，所以还是比较方便的。本文就介绍以下配置过程。

配置#

Let's Encrypt 是一家免费，开放，自动化的证书颁发机构，官方文档参考 Let’s Encrypt 快速入门 ↗。Let's Encrypt 官方建议使用 certbot 来进行证书的获取。安装 certbot 需要先安装 epel 仓库，命令如下：

sudo yum install epel-release

sudo yum install certbot

安装完成后我们就可以运行 certbot 命令来获取证书了，certbot 命令的详细参数说明可以参考 Certbot命令行工具使用说明 ↗。我们这里为我们的网站进行证书的申请主要是下面的命令：

certbot certonly --webroot -m youremail@email.com -w your-root-path -d your-domain.com

certonly 表示获取证书，但是不安装，我们手动进行配置。 --webroot 表示把身份认证文件放置在服务器的网页根目录下，这样可以让我们在更新证书的时候不用关闭 nginx。 -m 输入自己的邮箱用来接收 Let's Encrypt 的邮件，比如证书要过期了等。 -d 输入自己要申请帧数的域名，如果不输入会在命令执行后要你手动填，也可以选择跳过 -w 网站的根目录

生成好的证书文件路径如下：

/etc/letsencrypt/live/example.com/fullchain.pem
/etc/letsencrypt/live/example.com/privkey.pem

在我们的 nginx 配置文件中配置

ssl_certificate       /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key   /etc/letsencrypt/live/example.com/privkey.pem;

然后重启 nginx 就完成配置了。

你可以使用 certbot certificates 来查看你已经申请的证书信息，你也可以多次运行上面的命令为多个域名创建证书，如果要更新单个证书就重新运行创建证书的命令，如果要一次更新所有域名的证书可以使用 certbot renew。

自动更新证书#

证书的自动更新需要安装 crontabs，安装命令如下

yum -y install vixie-cron

yum -y install crontabs

安装完成后 service crond start 启动 crond 服务，然后用 crontab -e 来创建自动更新的命令 30 0 15 * * /usr/bin/certbot renew --post-hook "systemctl restart nginx" >> /var/log/le-renew.log，该命令表示每个月 15 号的 0:30 执行 certbot renew 进行证书的更新，你也可以根据自己的需求写 cron 表达式，--pre-hook 和 --post-hook 则是证书更新前后的两个命令钩子，这里我们不需要像 配置 v2ray 证书 ↗ 里面那样先停止自己的 nginx，因为那里我们没有一个真的 web 服务供 Let's Encrypt 进行检测，而是用 certbot --standalone 启动了一个独立的 80 端口服务来进行验证，这里我们有自己的 nginx 可以提供验证，所以不需要用 --pre-hook 先关闭 nginx。最好自己先执行以下 certbot renew --dry-run 来测试一下命令是否能正常运行。

还有一点需要注意的是，证书的默认有效期是 90 天，默认情况下只有有效期小于 30 天的时候才可以进行证书的更新，否则更新会失败。

遇到的问题#

2021-12-15 收到 Let's Encrypt 的邮件说是证书还有一天就过期了，上服务器上执行 certbot renew 发现报错 Failed to renew certificate with error: __str__ returned non-string，在 Let's Encrypt 社区 ↗ 里找到类似的问题用 pip 安装 urllib3 和 requests 后由报了一个新的错误 Failed to renew certificate with error: ("bad handshake: Error([('SSL routines', 'ssl3_get_server_certificate', 'certificate verify failed')],)",)，没找到答案，最后只能按 社区 ↗ 里说的加上 --no-verify-ssl 参数，更新成功了。看情况应该是 Let's Encrypt 的什么证书过期了，暂时就先这么解决了。

尝试了如下这些方法，不过都没有效果： 1. Old Let’s Encrypt Root Certificate Expiration and OpenSSL 1.0.2 ↗ 2. Centos7 don’t trust certificate issued by lets encrypt ↗ 3. Certbot 0.31.0 renew failed, peer’s certificate issuer not recognized ↗ 4. Chain of Trust ↗

总结#

以上就是配置 Let's Encrypt 证书并设置自动更新的方法了，如果有问题，欢迎留言讨论。