在Ubuntu上使用Nginx配置自动续期SSL证书,通常会结合Certbot工具来实现。Certbot是一个由Let’s Encrypt提供的自动化工具,可以方便地获取和续期SSL证书。以下是详细步骤:
首先,确保你的系统是最新的,然后安装Certbot及其Nginx插件。
sudo apt update
sudo apt install certbot python3-certbot-nginx
使用Certbot获取SSL证书。假设你的域名是example.com。
sudo certbot --nginx -d example.com -d www.example.com
在安装过程中,Certbot会自动配置Nginx,并要求你输入邮箱地址和同意Let’s Encrypt的服务条款。Certbot还会创建一个Nginx配置文件片段,通常位于/etc/letsencrypt/options-ssl-nginx.conf。
确保Nginx配置文件中包含了Certbot生成的配置片段。编辑你的Nginx站点配置文件(例如/etc/nginx/sites-available/example.com),确保包含以下内容:
server {
listen 80;
server_name example.com www.example.com;
location /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://$host$request_uri;
}
}
server {
listen 443 ssl;
server_name example.com www.example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
include /etc/letsencrypt/options-ssl-nginx.conf;
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
# 其他配置...
}
在重新加载Nginx之前,测试配置文件是否有语法错误。
sudo nginx -t
如果没有错误,重新加载Nginx以应用更改。
sudo systemctl reload nginx
Certbot会自动设置一个cron任务来定期检查并续期证书。你可以手动测试续期过程:
sudo certbot renew --dry-run
如果没有问题,Certbot会自动续期证书,并更新Nginx配置文件中的证书路径。
你可以使用以下命令查看Certbot的续期状态:
sudo certbot renew --post-hook "systemctl reload nginx"
这个命令会在续期成功后重新加载Nginx。
通过以上步骤,你可以在Ubuntu上使用Nginx和Certbot配置自动续期SSL证书。Certbot会自动处理证书的获取和续期,大大简化了管理SSL证书的过程。