Let’s Encrypt 是由 Internet Security Research Group（ISRG）開發的免費開放證書頒發機構。 今天幾乎所有瀏覽器都信任 Let’s Encrypt 頒發的證書。

在本教程中，我們將提供有關如何使用 Ubuntu 18.04 上的 certbot 工具使用 Let’s Encrypt 來保護您的 Nginx 的分步說明。

準備條件

在繼續本教程之前，請確保您已滿足以下先決條件：

• 您有一個指向公共服務器 IP 的域名。 在本教程中，我們將使用 example.com。
• 您按照這些說明安裝了 Nginx 。
• 您有一個適用于您的域的服務器塊。 您可以按照本文獲取有關如何創建一個的詳細信息。

安裝 Certbot

Certbot 是一個功能齊全且易于使用的工具，可以自動完成獲取和更新 Let’s Encrypt SSL證書以及配置Web服務器以使用它們的任務。 certbot 包包含在默認的 Ubuntu 存儲庫中。

更新軟件包列表并安裝 certbot 軟件包：

sudo apt update  sudo apt install certbot

生成強Dh（Diffie-Hellman）組

Diffie-Hellman 密鑰交換（DH）是一種在不安全的通信信道上安全地交換密碼密鑰的方法。 我們將生成一組新的 2048 位 DH 參數以加強安全性：

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

如果您愿意，可以將大小更改為 4096 位，但在這種情況下，生成可能需要超過 30 分鐘，具體取決于系統熵。

獲取Let’s Encrypt SSL證書

要獲得我們域的 SSL 證書，我們將使用 Webroot 插件，該插件通過在 ${webroot-path}/。熟知 /acme-challenge 目錄和Let的加密中為請求的域創建臨時文件來工作。 驗證服務器發出 HTTP 請求以驗證所請求域的DNS是否解析為運行 certbot 的服務器。

為了使它更簡單，我們將把 .well-known/acme-challenge 的所有 HTTP 請求映射到單個目錄 / var/lib/letsencrypt。

以下命令將創建目錄并使其可以為 Nginx 服務器寫入。

mkdir -p /var/lib/letsencrypt/.well-known  chgrp www-data /var/lib/letsencrypt  chmod g+s /var/lib/letsencrypt

為避免重復代碼，請創建以下兩個片段，我們將在所有Nginx服務器塊文件中包含這些片段。

打開文本編輯器并創建第一個片段 letsencrypt.conf：

sudo nano /etc/nginx/snippets/letsencrypt.conf

/etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ {    allow all;    root /var/lib/letsencrypt/;    default_type "text/plain";    try_files $uri =404;  }

創建第二個代碼段 .conf，其中包括 Mozilla 推薦的削片機，支持 OCSP Stapling，HTTP 嚴格傳輸安全（HSTS）并強制執行少數以安全為中心的 HTTP 頭。

sudo nano /etc/nginx/snippets/ssl.conf

/etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem;  ssl_session_timeout 1d;  ssl_session_cache shared:SSL:50m;  ssl_session_tickets off;    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;  ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';  ssl_prefer_server_ciphers on;    ssl_stapling on;  ssl_stapling_verify on;  resolver 8.8.8.8 8.8.4.4 valid=300s;  resolver_timeout 30s;    add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload";  add_header X-Frame-Options SAMEORIGIN;  add_header X-Content-Type-Options nosniff;

創建片段后，打開域服務器塊并包含 letsencrypt.conf 片段，如下所示：

/etc/nginx/sites-available/example.com

server {    listen 80;    server_name example.com www.example.com;      include snippets/letsencrypt.conf;  }

重新加載 Nginx 配置以使更改生效：

sudo systemctl reload nginx

您現在可以使用 webroot 插件運行 Certbot 并通過發出以下命令獲取 SSL 證書文件：

sudo certbot certonly --agree-tos --email admin@example.com --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

如果成功獲得 SSL 證書，certbot 將打印以下消息：

IMPORTANT NOTES:   - Congratulations! Your certificate and chain have been saved at:     /etc/letsencrypt/live/example.com/fullchain.pem     Your key file has been saved at:     /etc/letsencrypt/live/example.com/privkey.pem     Your cert will expire on 2018-07-28. To obtain a new or tweaked     version of this certificate in the future, simply run certbot     again. To non-interactively renew *all* of your certificates, run     "certbot renew"   - Your account credentials have been saved in your Certbot     configuration directory at /etc/letsencrypt. You should make a     secure backup of this folder now. This configuration directory will     also contain certificates and private keys obtained by Certbot so     making regular backups of this folder is ideal.   - If you like Certbot, please consider supporting our work by:       Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate     Donating to EFF:                    https://eff.org/donate-le

現在您已擁有證書文件，您可以按如下方式編輯域服務器塊：

sudo nano /etc/nginx/sites-available/example.com

/etc/nginx/sites-available/example.com

server {      listen 80;      server_name www.example.com example.com;        include snippets/letsencrypt.conf;      return 301 https://$host$request_uri;  }    server {      listen 443 ssl http2;      server_name www.example.com;        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;      ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;      ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;      include snippets/ssl.conf;      include snippets/letsencrypt.conf;        return 301 https://example.com$request_uri;  }    server {      listen 443 ssl http2;      server_name example.com;        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;      ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;      ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;      include snippets/ssl.conf;      include snippets/letsencrypt.conf;        # . . . other code  }

通過上面的配置，我們強制 HTTPS 并從 www 重定向到非 www 版本。

重新加載 Nginx 服務以使更改生效：

sudo systemctl reload nginx

自動續訂讓我們加密 SSL 證書

我們的加密證書有效期為90天。 要在證書過期之前自動續訂證書，certbo t包會創建一個 cronjob，每天運行兩次，并在到期前30天自動續訂任何證書。

由于我們在續訂證書后使用 certbot webroot 插件，因此我們還必須重新加載 nginx 服務。 將 –renew-hook“systemctl reload nginx”附加到 /etc/cron.d/certbot 文件，使其如下所示：

sudo nano /etc/cron.d/certbot
0 */12 * * * root test -x /usr/bin/certbot -a ! -d /run/systemd/system && perl -e ‘sleep int(rand(3600))’ && certbot -q renew –renew-hook “systemctl reload nginx”

要測試續訂過程，可以使用 certbot –dry-run 開關：

sudo certbot renew --dry-run

如果沒有錯誤，則表示續訂過程成功。

總結

在本教程中，您使用了Let的加密客戶端 certbot 來下載域的 SSL 證書。 您還創建了 Nginx 代碼段以避免重復代碼并配置 Nginx 以使用證書。 在本教程結束時，您已設置了一個用于自動證書續訂的 cronjob。

如果您想了解有關如何使用 Certbot 的更多信息，他們的文檔是一個很好的學習地方。