Nagy kézikönyv 14. rész
# Apt-get install letsencrypt -t Jessie-backports
Ha úgy döntött, hogy egy hely (vagy ha nincs más választásuk), akkor:
# Mv certbot-auto / usr / bin / letsencrypt
Most a legfontosabb dolog. Abban a pillanatban (jó, ha nem kézi nem átlósan, és annak érdekében), akkor nem kell futniuk semmit abból a tényből, hogy úgy port 80/443. Ha fut - üdvözöljük a /etc/init.d/ abba, amíg amíg nem olvasta el a cikket a beállítás az SSL nginx (ami nem kezdtem írni, heh).
De általában én, hogy most használja önálló modul, amely ellenőrzi a „tulajdon” domain elindítja webszerver 80. és 443. port, és fumble a http (s) fájlok, amelyek letsencrypt sétál kívül. Később fogjuk használni webroot modul, amely megteremti ezeket a fájlokat egy adott könyvtárban (és számunkra, hogy indítsa el az ügyfél nem kell LE stopat nginx), de ez végül is nginx helyes beállításokat.
A letsencrypt rendelhet egy tanúsítvány több domaint (és kellene - nem számít, hogy mennyit meséket a SNI nem hallgattam, hogy nem támogatja az összes ügyfél eddig). Az egyetlen feltétel tanúsítvány megszerzésének - a letsencrypt jöhet a http (s) az összes tartományt, amelyre Ön által kért igazolást egy adott URI és hogy ezen a bizonyos fájl uri. uri és a fájl tartalmát generálódik, ha az. Ennek megfelelően, a tanúsítvány megszerzéséhez - a domain már „nézni”, hogy a kívánt szervert.
Most arra van szükség, hogy a bizonyítvány FQDN a szerver (vagy bármely más tartomány, amit használni fog a telepítés az összes admin panel). Például, én egy második domént (általában megadhatja a -d opció körülbelül 100-szor kap egy igazolást a száz domain).
Menjünk. Rendeljen egy igazolást, előre felszabadítása port 80/443:
# Letsencrypt certonly -n --standalone -d yourfqdn.example.com -d seconddomain.example.com --agree-tos --email [email protected]
Ha már létrehozott nginx (részben a Big 16 kézi), akkor azt kell használni webgyökéren modul:
# Letsencrypt certonly -n --webroot -w / var / www / letsencrypt / -d yourfqdn.example.com -d seconddomain.example.com --agree-tos --email [email protected]
Mindkét parancs használható a jövőben kiterjeszteni a tanúsítványokat.
Most, a lehetőségek:
-n - az opció olvasható a „fogd be, és ne kérdezz semmit.” Ha kezdődik LE ONH előfordul -, akkor ki ezt az opciót, akkor az ügyfél elkezd kérdéseket feltenni, és nem használja az alapértelmezett viselkedés.
certonly - sőt, a lehetőség „rendelni igazolást”
-standalone - ügyfél indítsanak saját web-szerver szűrés.
-webroot - az ügyfél ideiglenes fájlokat hoznak létre egy adott könyvtárban szűrésére.
-w - itt adja meg a könyvtár számára -webroot
-d - Meghatározza azt a tartományt, amely elrendelheti a tanúsítványt. A -d opció megadható több alkalommal kap egy igazolást több domain (ellenőrizze lesz minden domain).
-agree-tos - tos automatikusan egyetértenek (ismét ne nyomja meg a nyilakat, mielőtt az ügyfél).
, E-mail - itt adja meg (elméletben), hogy visszaállítsa a leveleiket tanúsítványokat. Csak itt a helyreállítás nem működik =) Szóval, mit kell írni a jövőben minden dolgozó doboz (lehet bármely területén).
Ha mindent helyesen, akkor az ügyfél lesz tájékoztatni bennünket az alábbi végén munkájuk:
Ha egy ilyen címke nem látható, majd távolítsa el a -n opciót, és futtassa a kliens újra. Ha így nem világos -, majd hozzáadjuk a -v (részletes), hogy megtudja, hol lehetetlen, hogy a vizsgálaton.
Továbbra is a számunkra, hogy készítsen egy fájlt egy tanúsítvány a formátumot, amelyben képes lesz használni nginx és betette egy „biztonságos” (jól letsencrypt ügyfél nem jött, és nem törik ott semmit) helyen (a helyszín még ideiglenes):
Ha nginx már létrehozott (vagy inkább létre, amit részében ismertetett 18. manuális), akkor ezt azonnal (de ne feledkezzünk meg a tényt, hogy a tanúsítvány használatához jobb, ha nem korábban, mint 12 órával azután, hogy a nyugtát, ha ez a hely, ahol valaki jár):
Ez minden. Ismételje meg az eljárást egyszer
= 3 hónap)
Nos, igen, mi a helyzet startssl - azokból a tanúsítvány alkalmazható ugyanúgy, csak be kell „főzni” ez a megfelelő formátumban (azaz egy fájl után összeállnak a privát kulcs, tanúsítvány és tanúsítvány-lánc). Plus startssl hogy 59USD évente vannak helyettesítő bizonyítványok (bármilyen összeg). Más esetekben az LE elég lesz.
És mi a helyzet a kínaiakat wosign - fasz őket, a kínai =)