想让你的网站更安全,并且被浏览器信任?在这篇详细的教程中,我会一步步教你如何在Ubuntu系统上使用OpenSSL生成自签名证书,然后通过Let's Encrypt获取一个让浏览器信任的证书。即使你是新手也不用担心,跟着我来,一步步就能搞定!
步骤1:安装OpenSSL和Certbot
首先,我们需要安装OpenSSL和Certbot。这两个工具是必备的,所以打开终端,输入以下命令:
sudo apt-get update
sudo apt-get install openssl certbot
这两条命令会更新你的软件包列表并安装OpenSSL和Certbot。
步骤2:生成自签名证书
接下来,我们要生成一个自签名证书。首先,进入一个工作目录,比如 /etc/ssl/private:
cd /etc/ssl/private
然后运行下面的命令来生成自签名证书:
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout mydomain.key -out mydomain.crt
你会被提示输入一些信息,比如:
- Country Name (2 letter code) [AU]: 输入两位数的国家代码,比如CN(中国)。
- State or Province Name (full name) [Some-State]: 输入省份的全名,比如Beijing。
- Locality Name (eg, city) []: 输入城市名称,比如Beijing。
- Organization Name (eg, company) [Internet Widgits Pty Ltd]: 输入公司名称。
- Organizational Unit Name (eg, section) []: 输入部门名称。
- Common Name (e.g. server FQDN or YOUR name) []: 输入域名,比如yourdomain.com。
- Email Address []: 输入电子邮件地址。
完成后,你会得到一个私钥文件 mydomain.key 和一个自签名证书 mydomain.crt。
步骤3:获取Let's Encrypt证书
接下来,通过Certbot获取Let's Encrypt证书。运行以下命令:
sudo certbot certonly --standalone -d yourdomain.com
Certbot会启动一个临时的Web服务器来进行域名验证。确保你的防火墙允许HTTP和HTTPS流量。
步骤4:配置Apache Web服务器
现在,我们需要配置Apache Web服务器来使用这些证书。首先,进入Apache的站点可用配置文件夹:
cd /etc/apache2/sites-available
然后打开默认配置文件:
sudo nano 000-default.conf
在文件中添加以下内容:
<VirtualHost *:443>
ServerName yourdomain.com
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/yourdomain.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/yourdomain.com/privkey.pem
DocumentRoot /var/www/html
</VirtualHost>
保存并关闭文件,按 Ctrl+X,然后按 Y,最后按 Enter。
启用SSL模块并重新加载Apache配置:
sudo a2enmod ssl
sudo systemctl restart apache2
步骤5:配置Nginx Web服务器
如果你用的是Nginx,我们也需要进行相应的配置。首先,进入Nginx的站点可用配置文件夹:
cd /etc/nginx/sites-available
然后打开默认配置文件:
sudo nano default
在文件中添加以下内容:
server {
listen 443 ssl;
server_name yourdomain.com;
ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;
location / {
root /var/www/html;
index index.html;
}
}
保存并关闭文件,按 Ctrl+X,然后按 Y,最后按 Enter。
重新加载Nginx配置:
sudo systemctl restart nginx
步骤6:设置自动更新
Let's Encrypt证书的有效期只有90天,所以我们需要设置自动更新。首先,测试Certbot的自动更新功能:
sudo certbot renew --dry-run
如果测试成功,我们可以将其添加到cron作业中,这样就能自动更新证书了。编辑crontab文件:
sudo crontab -e
在crontab文件中添加以下行:
0 0 * * * /usr/bin/certbot renew --quiet
这行命令会每天午夜检查并自动更新证书。
总结
通过以上详细步骤,你已经成功使用OpenSSL生成了自签名证书,并通过Let's Encrypt获取了一个让浏览器信任的证书。确保定期更新证书以保持网站的安全性。如果你有任何问题,欢迎在评论区留言。希望这篇教程对你有所帮助!
