安装程序可在Ubuntu 16.04上使用Nginx进行加密

• 先决条件
• 安装Certbot
• 配置Nginx
• 获取“让我们加密SSL”证书
• 自动续订
• 增强配置

让我们加密是一个证书颁发机构（CA），它通过自动客户端提供免费的SSL证书。通过使用“加密我们的SSL”证书，您可以加密网站和访问者之间的流量。整个过程很简单，并且续订可以自动化。另外，请注意，证书的安装或更新不会导致任何停机时间。

在本教程中，我们将使用Certbot来获取，安装并自动续订SSL证书。Certbot由电子前沿基金会（EFF）积极开发，它是Let's Encrypt的推荐客户端。

先决条件

• 运行Ubuntu 16.04的Vultr实例
• 指向您服务器的注册域名
• Nginx的

安装Certbot

要获取“加密我们的SSL”证书，您必须在服务器上安装Certbot客户端。

添加存储库。ENTER当提示您接受时，按键。

add-apt-repository ppa:certbot/certbot

更新软件包列表。

apt-get update

通过安装Certbot和Certbot的Nginx软件包来继续。

apt-get -y install python-certbot-nginx

配置Nginx

Certbot会自动为Nginx配置SSL，但要这样做，需要在Nginx配置文件中找到服务器块。它通过server_name将配置文件中的指令与您要为其申请证书的域名进行匹配来实现。

如果您使用的是默认配置文件/etc/nginx/sites-available/default，请使用文本编辑器（如）将其打开，nano然后找到server_name指令。将下划线替换为_您自己的域名：

nano /etc/nginx/sites-available/default

编辑配置文件后，server_name伪指令应如下所示。在此示例中，我假设您的域为example.com，并且您正在为example.com和www.example.com请求证书。

server_name example.com www.example.com;

通过验证编辑的语法来继续。

nginx -t

如果语法正确，请重新启动Nginx以使用新配置。如果收到任何错误消息，请重新打开配置文件并检查是否有错字，然后重试。

systemctl restart nginx

获取“让我们加密SSL”证书

以下命令将为您获取证书。编辑您的Nginx配置以使用它，然后重新加载Nginx。

certbot --nginx -d example.com -d www.example.com

您还可以请求其他域的SSL证书。只需-d多次添加“ ”选项即可。

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

如果您只想从Let's Encrypt获得证书而不自动安装它，则可以使用以下命令。这将对Nginx配置进行临时更改以获取证书，并在下载证书后将其还原。

certbot --nginx certonly -d example.com -d www.example.com

如果您是首次运行Certbot，系统将提示您输入电子邮件地址并同意服务条款。该电子邮件地址将用于续订和安全通知。提供电子邮件地址后，Certbot将向Let's Encrypt申请证书，并进行质询以验证您是否控制了相关域。

如果Certbot可以获取SSL证书，它将询问您如何配置HTTPS设置。您可以重定向通过不安全连接访问您的网站的访问者，也可以让他们通过不安全连接访问该网站。通常应启用此选项，因为它可以确保访问者仅访问您网站的SSL保护版本。选择您的选择，然后按ENTER。

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

最后，Certbot将确认该过程是否成功以及证书的存储位置。您的证书现已下载并安装。

自动续订

因为“加密”是免费的证书颁发机构，并且为了鼓励用户自动执行续订过程，所以证书的有效期仅为90天。Certbot将负责自动更新证书。它通过certbot renew每天运行两次来实现systemd。

您可以通过运行此命令来检查自动更新是否正常工作。

certbot renew --dry-run

您也可以随时通过运行以下命令来手动续订证书。

certbot renew

增强配置

上面的命令以适合大多数情况的配置获取并安装SSL证书。如果要为网站实施高级安全措施，则可以使用以下命令来获取证书。

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

在--rsa-key-size 4096使用4096位RSA密钥，而不是2048位密钥，这是更安全的。不利的一面是，较大的密钥会导致轻微的性能开销。此外，较旧的浏览器和设备可能不支持4096位RSA密钥。

在--must-staple添加OCSP必然选择装订扩展证书和Nginx的配置为OCSP装订。此扩展名使浏览器可以验证您的证书尚未吊销并且可以信任。但是，并非所有浏览器都支持此功能。