Linux下Certbot使用教程

简介

Certbot 是一个命令行工具,用于自动执行从 Let's Encrypt 获取和更新SSL/TLS 证书的过程。它通过管理证书、配置 Web 服务器并自动更新证书来简化网站安全保护。

安装

  • Ubuntu/Debian
shell 复制代码
sudo apt update
sudo apt install certbot python3-certbot-nginx  # For Nginx
sudo apt install certbot python3-certbot-apache  # For Apache
  • CentOS/RHEL
shell 复制代码
sudo yum install epel-release
sudo yum install certbot python3-certbot-nginx  # For Nginx
sudo yum install certbot python3-certbot-apache  # For Apache

常用选项

  • --nginx:获取并配置 Nginx 的证书。

  • --apache:获取并配置 Apache 的证书

  • certonly:仅获取证书,不执行安装

  • renew:更新所有已安装的证书

  • delete:删除证书

  • revoke --cert-path <path>:吊销证书

证书文件说明

证书文件位置在:/etc/letsencrypt/live/<domain>/

  • fullchain.pem:完整的证书链

  • privkey.pem:私钥文件

  • cert.pem:域名证书

  • chain.pem:证书颁发机构链

示例用法

使用 Nginx 自动获取并安装证书
shell 复制代码
sudo certbot --nginx

# 根据提示输入以下信息
# 输入邮箱用于过期提醒
# 同意服务条款
# 选择nginx配置的域名
使用 Apache 自动获取并安装证书
shell 复制代码
sudo certbot --apache

# 与nginx类似
使用独立模式生成证书

一般用于没有 Web 服务在运行

shell 复制代码
# 先停止 `nginx`
sudo systemctl stop nginx

# 运行certbot
sudo certbot certonly --standalone -d example.com -d www.example.com

# 启动nginx
sudo systemctl start nginx
通过写入已运行的 Web 服务器的 Webroot 目录来获取证书。
shell 复制代码
certbot certonly --webroot -w /var/www/example -d www.example.com
测试证书更新过程
shell 复制代码
sudo certbot renew --dry-run
手动更新证书
shell 复制代码
sudo certbot renew
使用通配符证书
shell 复制代码
sudo certbot certonly --manual --preferred-challenges=dns -d "*.example.com" -d example.com

# Certbot 将提示需要添加 DNS TXT 记录以进行域验证
Nginx 配置 https 证书
nginx 复制代码
server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
}
Apache 配置 https 证书
xml 复制代码
<VirtualHost *:443>
    ServerName example.com

    SSLEngine on
    SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
</VirtualHost>
强制更新证书
shell 复制代码
sudo certbot renew --force-renewal
重新颁发证书
shell 复制代码
sudo certbot certonly --nginx -d example.com -d www.example.com
删除一个证书
shell 复制代码
sudo certbot delete

# 会提示选择已配置证书的域名
Which certificate would you like to delete?
  1: example.com
  2: test.com
吊销证书
shell 复制代码
sudo certbot revoke --cert-path /etc/letsencrypt/live/example.com/fullchain.pem
默认的证书更新脚本

通常 Certbot 会设置 /etc/cron.d/certbot 计划任务,默认是每天两次自动续订距离到期日期还有三十天的证书,并且 systemd 会配置一个 certbot.timer 的服务来执行。

shell 复制代码
● certbot.timer - Run certbot twice daily
     Loaded: loaded (/lib/systemd/system/certbot.timer; enabled; vendor preset:>
     Active: active (waiting) since Mon 2022-04-11 20:52:46 UTC; 4min 3s ago
    Trigger: Tue 2022-04-12 00:56:55 UTC; 4h 0min left
   Triggers: ● certbot.service

Apr 11 20:52:46 jammy-encrypt systemd[1]: Started Run certbot twice daily.
手动添加计划任务更新证书
shell 复制代码
0 3 * * * certbot renew --quiet --post-hook "systemctl reload nginx"

0 3 * * * certbot renew --quiet && systemctl reload nginx
相关推荐
阿里云大数据AI技术2 小时前
阿里云 EMR AI 助手正式发布:从问答工具到全栈智能运维助手
运维·人工智能
你好潘先生8 小时前
别再记命令了,用 yeero do 说句人话就能跑脚本,而且不烧 token
服务器·python·命令行
orion5720 小时前
Missing Semester Class1:course overview and introduction of shell
linux
SkyWalking中文站1 天前
认识 Horizon UI · 6/17:Trace 探索器
运维·监控·自动化运维
用户120487221611 天前
Linux驱动编译与加载
linux·嵌入式
程序员老赵1 天前
服务器文件不想 SFTP 上传?Docker 跑个 File Browser,浏览器就能管理
服务器·docker·开源
火车叼位1 天前
写给初级开发者:SSL、SSH、HTTPS 与证书体系全解析
运维
vivo互联网技术1 天前
从 10 分钟到 1 秒:ES 深度分页任意跳页的三轮优化实战
服务器·数据库·redis·elasticsearch·深度分页
用户805533698031 天前
Input 子系统架构:Core、Handler、Driver 三层是怎么协作的
linux·嵌入式