原文链接: http://gaoit.de/a/3
实际上https并不是必须的,针对这个我单独吐过槽 http://gaoit.de/a/1 , 但这里也顺便写一下它的部署吧。
(请别忘了将下文的mjj.party替换成你自己的网站域名)
接上一篇的 http://www.dounar.com/thread-415706-1-1.html ,反代网站建好以后,继续输入命令:
curl https://get.acme.sh | sh
(如果这一步出错那么先apt-get install -y curl)
然后source ~/.bashrc 就装好了acme,我们用它来签发证书
建一个临时的网站目录 mkdir -p /www/mjj.party
编辑我们的反代网站配置文件:
vi /etc/nginx/sites-enabled/mjj.party
进入编辑器后光标移动到access_log off这行,按o,在这行下面粘贴插入以下内容:
location /.well-known {
alias /www/mjj.party/.well-known;
}
然后esc、输入:wq回车(保存退出)
重启nginx使修改生效 service nginx restart
签发证书
acme.sh --issue -d mjj.party -d www.mjj.party -w /www/mjj.party
看到success字样就是成功了
再建个目录 mkdir /www/ssl
安装证书
acme.sh --installcert -d mjj.party -d www.mjj.party --keypath /www/ssl/mjj.party.key --fullchainpath /www/ssl/mjj.party.key.pem --reloadcmd "service nginx reload"
然后 openssl dhparam -out /www/ssl/dhparam.pem 2048
(如果机器配置低,这一步可能执行时间有些久,耐心等候)
再次修改网站配置文件 vi /etc/nginx/sites-enabled/mjj.party
进入编辑器后光标移动到 listen 80; 这行,按o,在下面一行粘贴插入
listen 443;
按esc,光标再移动到最后一个}的上一行按o(就是在server这个大括号里添加内容)
粘贴入以下
ssl on;
ssl_certificate /www/ssl/mjj.party.key.pem;
ssl_certificate_key /www/ssl/mjj.party.key;
ssl_dhparam /www/ssl/dhparam.pem;
#add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
如果想hsts强制开启https那么就去掉最后那个注释符#,不过我非常不建议这样做
按esc 输入:wq回车保存退出
service nginx restart
结束
可以顺便检查下crontab里是否已成功添加了定期重签任务:
crontab -l
看到有acme的就对了
|
发表于 2017-12-21 15:36:31
楼主