StartSSL的免费证书总不太稳定,尤其在Chrome下表现更是离奇,这不最近在将macOS Chrome升级到最新版的时候,花图影铺的一个二级域名证书就被列为不信任了,但根域名又是正常的,而在火狐或Safari或iOS 10中都是正常的,真是莫名其妙。正好最近Let’s Encrypt比较火,干脆趁这个国庆节将证书换一下。
1. 下载安装证书
git clone https://github.com/letsencrypt/letsencrypt cd letsencrypt/ ./letsencrypt-auto certonly --standalone --email admin@snapast.com -d snapast.com -d www.snapast.com -d abc.snapast.com
这里Let’s Encrypt简化了安装步骤,只需要确保域名解析到本机服务器,并且未占用服务器的80和443端口即可创建成功,默认位置在/etc/letsencrypt/live/snapast.com里面,fullchain.pem即是公钥,包含证书链,privkey.pem私钥。
需要注意的是,有二级域名未解析到本机的不可以,比如使用了CDN,临时改一下问题不大,本机有nginx之类的占用80端口的,也得临时停一下,反正很快,网络好的情况下几秒钟就可以了。如果站点流量大到几分钟都不能停,那想必也没必要用Let’s Encrypt了,毕竟一次申请的有效期也才三个月。
2. nginx配置
ssl_certificate /etc/letsencrypt/live/snapast.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/snapast.com/privkey.pem;
配置好nginx,reload一下就生效了,CDN后台的证书也一并替换掉,大功告成。
本文链接地址:https://dorole.com/1639/
现在你又多了一个不用StartSSL的理由了(噗
https://github.com/xiagw/acme.sh