# Ап-да инсталирате letsencrypt -Т Джеси-backports
Ако сте решили да сложите сайт (или вие нямате друг избор), тогава:
# Mv certbot-авто / ЮЕсАр / хамбар / letsencrypt
Сега важното. В момента (добре, ако го направите ръчно не по диагонал, и по ред), ние не трябва да се работи нищо от това, че е необходимо пристанища 80/443. Ако използвате - Добре дошли в /etc/init.d/ спрат, докато, докато не прочетете статията за задаването на SSL в Nginx (което аз не съм започнал да пише, хе).
Но като цяло съм, че сега се използва самостоятелен модул, който проверява за "собственост" домейн стартира своя уеб сървър на портове 80 и 443, както и фъмбъли на HTTP (и) файлове, които letsencrypt разходки навън. По-късно, ние ще използваме Webroot модул, който ще създаде тези файлове в дадена директория (и за нас, за да започне на клиента няма да се налага да LE stopat Nginx), но това е след Nginx правилните настройки.
В letsencrypt да поръчате един сертификат за няколко домейна (и трябва - без значение колко сте истории за SNI не е слушал, той не поддържа всички клиенти до момента). Единственото условие за получаване на сертификат - да letsencrypt може да дойде в HTTP (а) за всички домейни, за които искате да бъдат удостоверение за определена URI и се кача на този конкретен файл URI. URI и съдържанието на файла се генерират динамично, ако това. Съответно, за да се получи сертификат - домейнът вече трябва да "изглежда" на желаната сървъра.
Сега ние трябва да получи сертификат за FQDN нашия сървър (или всеки друг домейн, който ще се използва за разполагане на всички администраторския панел на). Например, аз ще добавите втори домейн (обикновено можете да зададете опцията -d около 100 пъти, за да получите сертификат за сто домейни).
Да вървим. Поръчате сертификат, предварително дренажни отвори 80/443:
# Letsencrypt certonly -н --standalone -d yourfqdn.example.com -d seconddomain.example.com --agree-TOS --email [email protected]
Ако вече сте настроили Nginx (част от ръководството за Big 16), тогава ние трябва да използваме Webroot модул:
# Letsencrypt certonly -п --webroot -w / Var / WWW / letsencrypt / -d yourfqdn.example.com -d seconddomain.example.com --agree-TOS --email [email protected]
И двете от тези команди могат да бъдат използвани в бъдеще да разшири обхвата на сертификатите.
Сега, за опциите:
-п - опцията се чете като "млъкни и не питай нищо." Ако започнете с LE OnH настъпва - тогава махнете тази опция, клиентът ще започне да задавате въпроси и да не се използва поведението по подразбиране.
certonly - всъщност опцията "поръчате удостоверение"
-standalone - клиент стартира своя уеб-сървър за скрининг.
-webroot - клиентът ще създаде временни файлове в дадена директория за скрининг.
-w - тук задаваме указателя за -webroot
-г - Определя домейна, за който поръчате сертификата. Опцията -d може да бъде определен по няколко пъти, за да получите сертификат на повече от един домейн (проверка ще бъде за всички домейни).
-agree-TOS - TOS автоматично съгласни с (за пореден път да не натискайте клавишите преди започване на клиента).
-Е - тук посочвате (на теория) да възстановят своите сертификати поща. Само тук възстановяването не работи =) И така, какво да пиша в бъдеще всеки работен кутия (може да бъде във всеки домейн).
Ако сте направили всичко правилно, клиентът ще ни информира за следното в края на тяхната работа:
Ако такъв етикет не виждате, след това извадете опцията -n и стартирате клиента отново. Ако е така, не е ясно - след това добавете и -v (многословно), за да разберете къде е невъзможно да се мине теста.
Остава ни да се подготви файл с удостоверение във формата, в която ще бъде в състояние да използват Nginx и да го постави в "безопасна" (добре, за да letsencrypt клиент не дойде и не се счупи нещо там) място (мястото е все още временно):
Ако Nginx вече са създадени (или по-скоро, създаден, което е описано в част 18 от ръководството), можете да го направите веднага (но не забравяйте за това, че използва този сертификат е по-добре не по-рано от 12 часа след получаването му, ако това е за сайта, където някой ходи):
Това е всичко. Повторете процедурата веднъж
= 3 месеца)
Е, да, какво да кажем за StartSSL - получени от тях сертификат може да се използва точно по същия начин, само трябва да се "готви", това в правилния формат (т.е. в един файл последователно пуснати на частния ключ, сертификат и удостоверение веригата). Плюс startssl че за 59USD на година те могат да получат заместващи сертификати (в какъв размер). В други случаи, LE ще бъде достатъчно.
А какво да кажем за китайците от wosign - майната им, те, китайските =)
Свързани статии