配置免费的SSL

1 引言

本文介绍了如何在 Linux 环境下使用免费的 Let’s Encrypt 为你的网站配置 SSL 证书的方法，以及如何在 Nginx 服务器中启用 SSL。对于需要在自己的网站上启用 HTTPS 的用户来说非常实用。

2 SSL 简介

SSL，全称为 Secure Sockets Layer，是一种网络安全协议，主要用于在互联网上对数据进行加密传输。SSL 通过使用加密算法对数据进行加密，确保数据在传输过程中的安全。同时，SSL 还提供了身份验证机制，可以验证服务器的身份以防止中间人攻击。

当你在浏览器的地址栏看到 http:// 变成 https://，或者地址栏前面出现一个锁的图标时，就表示你正在使用 SSL。“s” 即安全 “secure”。HTTPS 协议实际上就是在 HTTP 上加了一层 SSL/TLS 协议，使得数据传输更加安全。

SSL 证书是一种数字证书，它可以验证网站的身份，并提供 SSL 加密。当一个网站使用了 SSL 证书后，用户在访问这个网站时，浏览器会首先获取这个网站的 SSL 证书，然后验证这个证书的有效性。如果证书有效，浏览器就会生成一个随机的密钥，然后用证书中的公钥加密这个密钥，并发送给服务器。服务器收到密钥后，用自己的私钥解密，然后用这个密钥对数据进行加密，发送给浏览器。浏览器收到数据后，用同样的密钥解密，得到原始的数据。这样，即使数据在传输过程中被截获，攻击者也无法解密数据，从而保证了数据的安全。

在本文中，我们将使用 Let’s Encrypt 提供的免费 SSL 证书，用 Certbot 工具来为我们的网站配置 SSL。

3 设置方法

3.1 安装

$ sudo apt-get install certbot
$ sudo certbot certonly --standalone -d 你的域名

（交互过程中需要设置邮箱地址）

此后将产生：

Certificate is saved at: /etc/letsencrypt/live/你的域名/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/你的域名/privkey.pem

3.2 配置 Nginx

编辑 /etc/nginx/nginx.conf

在其中提示 SSL 部分加入

ssl_certificate /etc/letsencrypt/live/你的域名/fullchain.pem; 
ssl_certificate_key /etc/letsencrypt/live/你的域名/privkey.pem;

打开 443 端口

还是把 nginx 中，把 80 端口相关内容复制一份，添加到设置中，并修改端口为 443：

        server {listen 443 ssl;…}server {listen 80;…

Let’s Encrypt 的证书有效期为 90 天，可以设置一个 cron 任务来自动续期证书。

$ echo "0 12 * * * root certbot renew --quiet" | sudo tee -a /etc/crontab > /dev/null

4 注意事项

当使用 https 访问时，需要输入域名，而不能输入 ip，否则会报错：域名和 SSL 认证不匹配。