在 Debian 系统上安装 Nginx SSL 证书的步骤如下:
首先,确保你已经安装了 openssl、curl、gnupg2、ca-certificates 和 lsb-release。如果没有安装,可以使用以下命令进行安装:
sudo apt update
sudo apt install openssl curl gnupg2 ca-certificates lsb-release -y
导入 Nginx 官方的 GPG 密钥以验证软件包的正确性:
curl https://nginx.org/keys/nginx_signing.key | gpg --dearmor | sudo tee /usr/share/keyrings/nginx-archive-keyring.gpg >/dev/null
验证密钥是否正确导入:
gpg --dry-run --quiet --no-keyring --import --import-options import-show /usr/share/keyrings/nginx-archive-keyring.gpg
使用以下命令安装 Nginx:
sudo apt update
sudo apt install nginx -y
推荐使用 Snap 安装 Certbot,因为它提供了更好的兼容性和功能:
sudo apt update
sudo apt install snapd -y
sudo snap install core -y
sudo snap refresh core
sudo ln -s /snap/bin/certbot /usr/bin/certbot
certbot certonly --webroot -w /path/to/your/webroot -d yourdomain.com -m youremail@example.com --agree-tos
certbot certonly --manual --preferred-challenges dns -d "*.yourdomain.com" -w /path/to/your/webroot -m youremail@example.com
按照提示完成 DNS 记录添加。
创建或编辑 Nginx 配置文件,例如 /etc/nginx/sites-available/yourdomain.com,填入以下内容:
server {
listen 443 ssl http2;
server_name yourdomain.com www.yourdomain.com;
ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'HIGH:!aNULL:!MD5';
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
location / {
proxy_pass http://localhost:8080;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
创建符号链接以启用该配置:
sudo ln -s /etc/nginx/sites-available/yourdomain.com /etc/nginx/sites-enabled/
测试 Nginx 配置并重启服务:
sudo nginx -t
sudo systemctl restart nginx
Certbot 支持自动续签 SSL 证书,你可以通过以下命令设置:
sudo certbot renew --quiet
为了确保 Certbot 在证书到期前自动续签,将其添加到 crontab:
sudo crontab -e
添加以下行:
0 0,12 * * * certbot renew --quiet && systemctl reload nginx
这样,Certbot 将在每天的两个零点和中午十二点检查证书的有效性,并在需要时自动续签。