转载

把家裡的機器換上 Let's Encrypt 的 SSL certificate

依照「 Beta Program Announcements 」這邊的指示去填單申請 Let's Encrypt 的 SSL certificate (先幫 home.gslin.org 申請)，等了好幾天，在剛剛收到信就弄了弄，還蠻順利就設好了。

可以看到 Let's Encrypt Authority X1 被 DST Root CA X3 簽名的情況，而後者已經被大多數瀏覽器所確認了：

首先是先把 letsencrypt client 拉下來：

$ git clone https://github.com/letsencrypt/letsencrypt

接著執行認證：

$ cd letsencrypt $ ./letsencrypt-auto --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory certonly

執行時會先建立環境 (由於需要寫到 /etc/letsencrypt 裡面，會需要 root 或 sudo 權限)。

接下來會跳出一些畫面讓你設定，包括 hostname 以及聯絡資訊，再來就是認證的方式 (我是跳出使用 apache 或是 standalone web server)，由於我的 port 443 已經被 apache 吃掉，所以需要用 apache。

最後認證成功會出現：

IMPORTANT NOTES:  - Congratulations! Your certificate and chain have been saved at    /etc/letsencrypt/live/home.gslin.org/fullchain.pem. Your cert will    expire on 2016-02-02. To obtain a new version of the certificate in    the future, simply run Let's Encrypt again.

有效期限 90 days，雖然裡面是講 fullchain.pem，但其實每個檔案都有拆開放，看一下 /etc/letsencrypt/live/home.gslin.org/ 路徑裡的檔案，設定對應的 cert/chain/key 應該還是比較習慣的作法。

官方目前的建議是 60 days 重新 renew 一次，也許可以設成 cron ，每兩個月自動更新一次 (並且 reload apache)。

正文到此结束

所属分类：编程技术

本文标签： https client git key ssl CTO root GitHub web API apache UI cat http src
版权声明： 本文为互联网转载文章，出处已在文章中说明(部分除外)。如果侵权，请联系本站长删除，谢谢。
本文海报： 生成海报一生成海报二